• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab 4-3: Kiểm soát truy cập vào Router (with file .net)

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab 4-3: Kiểm soát truy cập vào Router (with file .net)

    Nguồn: Sách CCNA Labpro

    LAB 4-3: KIỂM SOÁT TRUY CẬP VÀO ROUTER


    Mô tả:
    Access-list có thể dùng để kiểm soát các kết nối telnet tới router. Access-list cho phép xác định trạm nào được telnet vào router dựa trên địa chỉ IP. Lab này mô tả các hạn chế truy cập vào router thông qua giao diện web và telnet sử dụng stadard access-list, theo các yêu cầu sau:
    • Chỉ cho PC1 telnet vào R2.
    • Chỉ cho R1 telnet vào R2 với địa chỉ nguồn là 200.200.200.1
    • Chỉ cho PC2 truy cập vào R2 qua giao diện web.

    Cấu hình:
    Router R1:
    !
    hostname R1
    !
    enable password cisco
    !
    ip subnet-zero
    !
    ip telnet source-interface Loopback0 <- dùng để thay đổi địa chỉ nguồn của các gói telnet từ router này
    no ip domain-lookup
    !
    interface Loopback0
    ip address 200.200.200.1 255.255.255.0
    !
    interface FastEthernet0/0
    ip address 192.168.0.254 255.255.255.0
    duplex auto
    speed auto
    no shutdown
    !
    interface Serial0/0
    ip address 203.162.0.1 255.255.255.0
    no shut
    !
    ip classless
    ip route 162.16.0.0 255.255.0.0 203.162.0.2
    ip route 172.16.0.0 255.255.0.0 203.162.0.2
    no ip http server
    !
    line con 0
    transport input none
    line aux 0
    line vty 0 4
    no login
    !
    end

    Router R2:
    !
    hostname R2
    !
    enable password cisco
    !
    ip subnet-zero
    no ip domain-lookup
    !
    interface Loopback0
    ip address 162.16.0.1 255.255.0.0
    no ip directed-broadcast
    !
    interface FastEthernet0/0
    ip address 172.16.0.254 255.255.0.0
    no ip directed-broadcast
    !
    interface Serial0/0
    ip address 203.162.0.2 255.255.255.0
    no ip directed-broadcast
    clockrate 64000
    !
    ip classless
    ip route 192.168.0.0 255.255.255.0 203.162.0.1
    ip route 200.200.200.0 255.255.255.0 203.162.0.1
    ip http server <- bật web server lên, cho phép cấu hình router qua giao diện web
    ip http access-class 3 <- bật access-list 3 để hạn chế truy cập vào giao diện web
    !
    access-list 2 permit 192.168.0.1
    access-list 2 permit 200.200.200.1
    access-list 3 permit 192.168.0.2 <- không khai báo wildcard mask, router sẽ cho là 0.0.0.0
    !
    line con 0
    transport input none
    line aux 0
    line vty 0 4
    access-class 2 in <- áp access-list 2 để hạn chế telnet vào router R2
    no login <- cho phép telnet vào router không cần mật khẩu
    !
    end

    Thực hiện:
    1. Tạo các access-list:
    R2(config)# access-list 2 permit 192.168.0.1 0.0.0.0
    R2(config)# access-list 2 permit host 200.200.200.1 <- có thể thay thế wildcard mask 0.0.0.0 bằng từ khóa host
    R2(config)# access-list 3 permit host 192.168.0.2
    2. Áp access-list 2 vào các line vty để hạn chế truy cập vào R2 qua telnet.
    R2(config)# line vty 0 4
    R2(config-line)# access-class 2 in <- sử dụng từ khóa in trong lệnh access-class. Nếu dùng từ khóa out sẽ cấm khả năng telnet của R2 đến các host khác.

    3. Bật web server trên R2 và áp access list 3 vào http server để hạn chế truy cập vào giao diện web:
    R2(config)# ip http server
    R2(config)# ip http access-class 3 <- xác định access-list 3 sẽ áp dụng trên mọi HTTP Request.
    Khi áp access-class vào IOS webserver, không sử dụng từ khóa in . vì IOS Webserver chỉ có thể nhận các yêu cầu để tạo kết nối. access- list không thể áp cho các traffic chiều ra.

    Kiểm tra:
    - Telnet vào R2 từ R1:
    R1#telnet 203.162.0.2 <- lúc này chưa cấu hình lệnh ip telnet source-interface lo0
    Trying 203.162.0.2 ...
    % Connection refused by remote host <- kết nối bị từ chối vì địa chỉ nguồn của gói telnet là 203.162.0.1 không thỏa access-list 2.

    - Cần phải cấu hình R1 để các gói telnet có địa chỉ nguồn thỏa access-list 2 (200.200.200.1 – interface lo0)
    R1#conf t
    Enter configuration commands, one per line. End with CNTL/Z.
    R1(config)#ip telnet source-interface lo0
    R1(config)#^Z
    R1#telnet 203.162.0.2
    Trying 203.162.0.2 ... Open

    R2> <- telnet đến R2 thành công

    - Telnet từ PC3 (172.16.0.3) vào R2.
    C:\Windows\Desktop>telnet 172.16.0.254
    Connecting To 172.16.0.254...Could not open connection to the host, on port 23.
    No connection could be made because the target machine actively refused it. <- kết nối bị từ chối vì địa chỉ của PC3 không thỏa mãn access-list 2

    - Telnet từ PC1 vào R2.
    C:\Windows\Desktop>telnet 203.162.0.2

    - Từ PC2 có thể truy cập vào R2 qua giao diện Web:
    Từ Internet Explorer gõ http://203.162.0.2 vào thanh Address
    Nhập User Name là R2 và mật khẩu là cisco
    Attached Files
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Tags: None
Previous template Next
Working...
X