Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
lab1
1. any log 30 cho dòng lệnh này.
Router(config-ext-nacl)#exit Trở về chế độ cấu hình Global
Configuration.
Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface
fa0/0.
Router(config-if)#ip access-group Gán ACL tên là serveraccess2 vào
serveraccess2 out
interface fa0/0 theo chiều ra.
Router(config-if)#exit Trở về chế độ cấu hình Global
Configuration.
Router(config)#ip access-list extended Chuyển cấu hình vào ACL tên là
serveraccess2
serveraccess2.
Router(config-ext-nacl)#25 permit tcp Sử dụng một giá trị sequence number là
any host
25 cho dòng lệnh này.
131.108.101.99 eq ftp
Router(config-ext-nacl)#exit Trở về chế độ cấu hình Global
Configuration.
* Chú ý:
- Sử dụng Sequence Number cho phép bạn dễ dàng sửa các câu lệnh của ACL named.
Trong ví dụ trên sử dụng chỉ số 10, 20, 30 cho các dòng lệnh trong ACL.
- Tham số sequence-number chỉ được phép cấu hình trên các phiên bản phần mềm Cisco
IOS 12.2 trở lên.
13. Xóa câu lệnh trong ACL named sử dụng sequence number
Router(config)#ip access-list extended Chuyển cấu hình vào chế độ ACL
serveraccess2
serveraccess2
Router(config-ext-nacl)#no 20 Xóa câu lệnh có giá trị Sequence number
là 20.
Router(config-ext-nacl)#exit Trở về chế độ cấu hình Global
Configuration.
14. Những chú ý khi sử dụng Sequence Number
- Sequence Number sẽ khởi tạo từ giá trị 10 và sẽ tăng nên 10 cho mỗi dòng lệnh trong
ACL named.
- Nếu bạn quên không gán một giá trị Sequence Number trước câu lệnh, thì câu lệnh đó sẽ
được gán tự động vào cuối ACL.
- Sequence Number sẽ thay đổi trên một router khi router đó khởi động để phản ánh khả
năng tăng bởi 10 policy. Nếu ACL của bạn có các chỉ số 10, 20, 30, 40, 50 và 60 trong ACL
đó thì khi khởi động lại thì các chỉ số đó sẽ trở thành là 10, 20, 30, 40, 50, 60, 70.
Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1. http://www.vnexperts.net 176
2. - Sequence Number sẽ không thể nhìn thấy khi bạn sử dụng câu lệnh Router# show
running-config hoặc Router# show startup-config. Để có thể nhìn thấy các giá trị
Sequence Number, bạn có thể sử dụng câu lệnh sau:
Router#show access-lists
Router#show access-lists list name
Router#show ip access-list
Router#show ip access-list list name
15. Tích hợp comments cho toàn bộ ACL
Router(config)#access-list 10 remark Với từ khóa remark cho phép bạn có thể
only
tích hợp thêm một ghi chú (giới hạn là
Jones has access
100 ký tự)
Router(config)#access-list 10 permit Host có địa chỉ IP là 172.16.100.119 sẽ
172.16.100.119
được cho phép truyền dữ liệu đến các
mạng khác.
Router(config)#ip access-list extended Tạo một ACL extended tên là
Telnetaccess
telnetaccess
Router(config-ext-nacl)#remark do not Với từ khóa remark cho phép bạn có thể
let
tích hợp thêm một ghi chú (giới hạn là
Smith have telnet
100 ký tự)
Router(config-ext-nacl)#deny tcp host Host có địa chỉ IP là 172.16.100.153 sẽ
172.16.100.153 any eq telnet
bị từ chối khi thực hiện telnet đến các
mạng khác.
* Chú ý:
- Bạn có thể sử dụng từ khóa remark với các ACL standard, ACL extended hoặc ACL
named.
- Bạn có thể sử dụng từ khóa remark trước hoặc sau câu lệnh permit hoặc deny.
16. Sử dụng ACL để hạn chế truy cập router thông qua telnet
Router(config)#access-list 2 permit Cho phép host có địa chỉ IP là
host
172.16.10.2 có thể telnet vào router.
172.16.10.2
Router(config)#access-list 2 permit Cho phép các host nằm trong mạng
172.16.20.0
172.16.20.x có thể telnet vào router
0.0.0.255
Mặc định có câu lệnh deny all ở cuối mỗi
ACL tạo ra.
Router(config)#line vty 0 4 Chuyển cấu hình vào chế độ line vty.
Router(config-line)#access-class 2 in Gán ACL 2 vào trong chế độ line vty 0 4
theo chiều đi vào router. Khi các gói tin
telnet đến router này thì sẽ được kiểm
Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1. http://www.vnexperts.net 177
3. tra.
* Chú ý: Khi cấu hình hạn chế truy cập vào router thông qua telnet, sử dụng câu lệnh
access-class thay vì sử dụng câu lệnh access-group.
17. Ví dụ: cấu hình ACL
- Hình 25-1 là sơ đồ mạng được sử dụng để cấu hình ACL, những câu lệnh được sử dụng
trong ví dụ này chỉ nằm trong phạm vi của chương này.
Hình 25-1
17.1. Ví dụ 1: Viết một ACL để chặn không cho phép mạng 10.0 truy cập đến mạng 40.0
nhưng vẫn cho phép ngược lại.
RedDeer(config)#access-list 10 deny Tạo ACL standard để không cho phép
172.16.10.0
mạng 172.16.10.0
0.0.0.255
RedDeer(config)#access-list 10 permit Dùng câu lệnh này để làm mất tác dụng
Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1. http://www.vnexperts.net 178
4. any câu lệnh ẩn deny all
RedDeer(config)#interface Chuyển cấu hình vào chế độ interface
fastethernet 0/0 fa0/0.
RedDeer(config)#ip access-group 10 Gán ACL 10 vào interface fa0/0 theo
out chiều đi ra.
17.2. Ví dụ 2: Viết một ACL không cho phép host 10.5 truy cập đến host 50.7 nhưng ngược
lại vẫn cho phép.
Edmonton(config)#access list 115 Tạo ACL extended để không cho phép
deny ip host
host 172.16.10.5 truy cập đến host
172.16.10.5 host 172.16.50.7
172.16.50.7 bằng tất cả các giao thức.
Edmonton(config)#access list 115 Dùng câu lệnh này để làm mất tác dụng
permit ip any any câu lệnh ẩn deny all
Edmonton(config)#interface Chuyển cấu hình vào chế độ interface
fastethernet 0/0 fa0/0.
Edmonton(config)#ip access-group Gán ACL 115 vào interface fa0/0 theo
115 in chiều đi vào.
17.3. Ví dụ 3: Viết một ACL để cho phép host 10.5 có thể Telnet đến router Red Deer. Các
host khác không thể.
RedDeer(config)#access-list 20 permit Tạo ACL 20 để cho phép host
host
172.16.10.5 sử dụng tất cả các giao thức
172.16.10.5
để truyền.
RedDeer(config)#line vty 0 4 Chuyển cấu hình vào chế độ line vty.
RedDeer(config-line)#access-class 20 Gán ACL 20 vào line vty thel chiều in.
in
17.4. Ví dụ 4: Viết một ACL named để cho phép host 20.163 có thể telnet đến host 70.2.
Nhưng không có host nào trong mạng 20.0 có thể telnet đến host 70.2. Ngoài ra những
host nằm trong các mạng khác có thể truy cập đến host 70.2 sử dụng những giao thức
khác.
Calgary(config)#ip access-list Tạo một ACL extended tên là
extended
serveraccess
Serveraccess
Calgary(config-ext-nacl)#10 permit tcp Cho phép host 172.16.20.163 có thể
host
telnet đến host 172.16.70.2
172.16.20.163 host 172.16.70.2 eq
telnet
Calgary(config-ext-nacl)#20 deny tcp Không cho phép các host khác nằm trong
172.16.20.0
mạng 172.16.20.0 có thể telnet đến host
0.0.0.255 host 172.16.70.2 eq telnet
172.16.70.2.
Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1. http://www.vnexperts.net 179
5. Calgary(config-ext-nacl)#30 permit ip Dùng câu lệnh này để làm mất tác dụng
any any
câu lệnh ẩn deny all
Calgary(config-ext-nacl)#exit Trở về chế độ Global Configuration.
Calgary(config)#interface fastethernet Chuyển cấu hình vào chế độ interface
0/0
fa0/0.
Calgary(config)#ip access-group Gán ACL tên là serveraccess vào
serveraccess out
interface fa0/0 theo chiều đi ra.
17.5. Ví dụ 5: Viết một ACL để những host từ 50.1 đến 50.63 không truy cập web đến host
80.16. Những host từ 50.64 đến 50.254 là cho phép.
RedDeer(config)#access-list 101 deny Tạo một ACL để chặn các lưu lượng HTTP
tcp
từ một mạng 172.16.50.0 0.0.0.63 đến
172.16.50.0 0.0.0.63 host
một host 172.16.80.16
172.16.80.16 eq 80
RedDeer(config)#access-list 101 Dùng câu lệnh này để làm mất tác dụng
permit ip any any câu lệnh ẩn deny all
RedDeer(config)#interface Chuyển cấu hình vào chế độ interface
fastethernet 0/0 fa0/0.
RedDeer(config)#ip access-group 101 Gán ACL 101 vào interface fa0/0 theo
in chiều đi vào.
*******************THE END********************
Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1. http://www.vnexperts.net 180