CCNA - [Lab 11.1] Cấu Hình Access List Cho Router

Trang chủ » Câu Lệnh Access List » CCNA - [Lab 11.1] Cấu Hình Access List Cho Router

Có thể bạn quan tâm

Lab Network System Security
  • Home
  • Diễn đàn Bài viết mới Tìm chủ đề
  • Có gì mới Nội dung nổi bật Bài viết mới Bài mới trên hồ sơ Hoạt động mới nhất
  • Thành viên Thành viên trực tuyến Bài mới trên hồ sơ Tìm trong hồ sơ cá nhân
Đăng nhập Đăng ký Có gì mới? Phong cách giao diện System Sáng Tối Tìm kiếm

Tìm kiếm

Everywhere Chủ đề This forum This thread Chỉ tìm trong tiêu đề Note Bởi: Tìm Tìm kiếm nâng cao…
  • Bài viết mới
  • Tìm chủ đề
Menu Đăng nhập Đăng ký Install the app Cài đặt How to install the app on iOS

Follow along with the video below to see how to install our site as a web app on your home screen.

Note: This feature may not be available in some browsers.

  • Diễn đàn
  • NETWORK SOLUTIONS
  • Switching & Routing
  • Cisco
  • Lab
You are using an out of date browser. It may not display this or other websites correctly.You should upgrade or use an alternative browser. [Lab 11.1] Cấu hình Access List cho Router
  • Thread starter Thread starter root
  • Ngày gửi Ngày gửi 25/02/2014
  • Từ khóa Từ khóa cau hinh access list cho router cấu hình access list trên router cấu hình access list trên router cisco cau hinh acl tren router cấu hình acl trên router cisco config access list cisco router config acl cisco router config acl router configure access list router
root

root

Moderator

Cấu hình Access List cho Router

Lab cấu hình Access List trên Switch hay còn gọi là cấu hình Access Control List (ACL) là một công cụ thường được sử dụng trong các thiết bị Cisco IOS. Như bài lý thuyết về Access Control list chúng ta đã biết Acess list là một danh sách điều khiển truy nhập. Access list thường được sử dụng cho 2 mục đích chính:
  • Traffic fitering: lọc lưu lượng theo chiều in hoặc của cổng
  • Data classification: Phân loại dữ liệu. Thường sử dụng để chỉ ra đối tượng nào được và không được tham gia vào một hoạt động nào đó. Ví dụ như NAT, VPN...
I. Sơ đồ và yêu cầu Lab cấu hình Access list cho Router 1. Sơ đồ lab - Sơ đồ lab cấu hình Access List cho Router gồm 3 switch layer 2 và 4 Router. Trong đó Router 3 làm gateway đấu với Router 4 (ISP) cau hinh access list cho router 2. Yêu Cầu bài lab cấu hình access list cho Router - Thiết lập sơ đồ - Cấu hình cơ bản trên các thiết bị - Đặt IP theo sơ đồ. Mô tả các interface đấu nối - Trên Switch
  • Sw1 tạo 3 VLAN
    • VLAN 1: 192.168.1.0/24 (F0/1 - F0/7)
    • VLAN 2: 192.168.2.0/24 (F0/8 - F0/15)
    • VLAN 3: 192.168.3.0/24 (F0/16 - F0/23)
  • Sw2 tạo VLAN 4: 192.168.4.0/24 (F0/1 - F0/23)
- R1 chạy định tuyến và cấp IP cho VLAN 1,2,3 - R2 chạy định tuyến và cấp IP cho VLAN 4 - Viết Access List cho Router
  • Cấm PC của VLAN 1 và VLAN 4 liên lạc với nhau
  • Viết thêm vào ACL cấm VLAN 3 liên lạc với VLAN 4
  • VLAN 2 không truy cập được đến Webserver
  • Cấm VLAN telnet đến R2
  • Cấm VLAN 4 ra internet
- tham khảo thêm các bài lab liên quan.
  1. [Lab 11] Cấu hình Access Control List
  2. Lab 12] Lab cấu hình NAT cho Router Cisco
  3. [Lab 13.1] Cấu hình HSRP and Spanning tree root
- Các bài lý thuyết tham khảo:
  1. [Bài 20] Hướng dẫn cấu hình ACL Router Cisco
  2. [Bài 21] Tìm hiểu về Network Address Translation
  3. [Bài 11] Tìm hiểu các giao thức định truyến mạng
Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
  • Tổng hợp những bài viết lý thuyết CCNA
  • Tổng hợp những bài Lab CCNA
Sửa lần cuối: 04/08/2016 Bài viết liên quan [Lab 1] - LACP với Switch: Cấu hình LACP để tăng băng thông và đảm bảo dự phòng. bởi Lê Triệu Phú, 12/11/2025 [A-III-4] [Lý thuyết + lab] Tìm hiểu và cấu hình giao thức định tuyến động OSPF bởi Đăng Duy, 04/09/2025 [A-III-3] [Lý thuyết + lab] Tìm hiểu và cấu hình giao thức dự phòng gateway (VRRP) bởi Đăng Duy, 03/09/2025 [A-III-2] [Lý thuyết + lab] Tìm hiểu và cấu hình định tuyến tĩnh, VLAN routing (static route) bởi Đăng Duy, 29/08/2025 [A-III-1] [Lý thuyết + lab] Tìm hiểu và cấu hình IPv4 address, hoạt động của router bởi Đăng Duy, 29/08/2025 [A-II-3] [Lab] Cấu hình giao thức dự phòng kết nối (LACP) bởi Đăng Duy, 28/08/2025 Bài viết mới [Lab 1] - LACP với Switch: Cấu hình LACP để tăng băng thông và đảm bảo dự phòng. bởi Lê Triệu Phú, 12/11/2025 [A-III-4] [Lý thuyết + lab] Tìm hiểu và cấu hình giao thức định tuyến động OSPF bởi Đăng Duy, 04/09/2025 [A-III-3] [Lý thuyết + lab] Tìm hiểu và cấu hình giao thức dự phòng gateway (VRRP) bởi Đăng Duy, 03/09/2025 [A-III-2] [Lý thuyết + lab] Tìm hiểu và cấu hình định tuyến tĩnh, VLAN routing (static route) bởi Đăng Duy, 29/08/2025 [A-III-1] [Lý thuyết + lab] Tìm hiểu và cấu hình IPv4 address, hoạt động của router bởi Đăng Duy, 29/08/2025 [A-II-3] [Lab] Cấu hình giao thức dự phòng kết nối (LACP) bởi Đăng Duy, 28/08/2025 root

root

Moderator

II. triển khai lab cấu hình Access list cho Router

- Cấu hình các thông tin cơ bản như IP, VLAN, trunk, định tuyến... 1. Switch Sw1 Mã: Sw1(config)#vlan 2 Sw1(config-vlan)#name CCNA Sw1(config-vlan)#vlan 3 Sw1(config-vlan)#name CCNP Sw1(config-vlan)#exit Sw1(config)#interface range f0/1-8 Sw1(config-if-range)#switchport mode access Sw1(config-if-range)#switchport access vlan 1 Sw1(config-if-range)#interface range f0/9-16 Sw1(config-if-range)#switchport mode access Sw1(config-if-range)#switchport access vlan 2 Sw1(config-if-range)#interface range f0/17-23 Sw1(config-if-range)#switchport mode access Sw1(config-if-range)#switchport access vlan 3 Sw1(config-if-range)#interface f0/24 Sw1(config-if)#switchport mode trunk Sw1(config-if)#exit Sw1(config)#spanning-tree portfast default R1(config-subif)#exit ​2. Router R1 Mã: R1(config)#interface f0/0 R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#interface f0/1 R1(config-if)#no shutdown R1(config-if)#interface f0/1.1 R1(config-subif)#encapsulation dot1Q 1 R1(config-subif)#ip address 192.168.1.254 255.255.255.0 R1(config-subif)#encapsulation dot1Q 2 R1(config-subif)#ip address 192.168.2.254 255.255.255.0 R1(config-subif)#interface f0/1.3 R1(config-subif)#encapsulation dot1Q 3 R1(config-subif)#ip address 192.168.3.254 255.255.255.0 R1(config)#ip dhcp pool VLAN1 R1(dhcp-config)#network 192.168.1.0 255.255.255.0 R1(dhcp-config)#default-route 192.168.1.254 R1(dhcp-config)#dns-server 8.8.8.8 R1(dhcp-config)#exit R1(config)#ip dhcp pool VLAN2 R1(dhcp-config)#network 192.168.2.0 255.255.255.0 R1(dhcp-config)#default-route 192.168.2.254 R1(dhcp-config)#dns-server 8.8.8.8 R1(dhcp-config)#exit R1(config)#ip dhcp pool VLAN3 R1(dhcp-config)#network 192.168.3.0 255.255.255.0 R1(dhcp-config)#default-route 192.168.3.245 R1(dhcp-config)#dns-server 8.8.8.8 R1(dhcp-config)#exit R1(config)#router ospf 1 R1(config-router)#network 192.168.1.0 0.0.0.255 area 0 R1(config-router)#network 192.168.2.0 0.0.0.255 area 0 R1(config-router)#network 192.168.3.0 0.0.0.255 area 0 R1(config-router)#network 192.168.12.0 0.0.0.255 area 0 ​3. Switch Sw2 Mã: Sw2(config)#vlan 4 Sw2(config-vlan)#name CCIE Sw2(config-vlan)#exit Sw2(config)#interface range f0/1-23 Sw2(config-if-range)#switchport mode access Sw2(config-if-range)#switchport access vlan 4 Sw2(config-if-range)#exit Sw2(config)#interface f0/24 Sw2(config-if)#switchport mode trunk Sw2(config-if)#exit Sw2(config)#spanning-tree portfast default ​4. Router R2 Mã: R2(config)#interface f0/0 R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#interface s0/0/0 R2(config-if)#ip address 192.168.13.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#interface f0/1 R2(config-if)#no shutdown R2(config-if)#interface f0/1.1 R2(config-subif)#encapsulation dot1Q 4 R2(config-subif)#ip address 192.168.4.254 255.255.255.0 R2(config-subif)#exit R2(config)#ip dhcp pool VLAN4 R2(dhcp-config)#network 192.168.4.0 255.255.255.0 R2(dhcp-config)#default-route 192.168.4.254 R2(dhcp-config)#dns-server 8.8.8.8 R2(dhcp-config)#exit R2(config)#router ospf 2 R2(config-router)#network 192.168.4.0 0.0.0.255 area 0 R2(config-router)#network 192.168.12.0 0.0.0.255 area 0 R2(config-router)#network 192.168.13.0 0.0.0.3 area 0 ​5. Router R3 Mã: R3(config)#interface s0/0/0 R3(config-if)#ip address 192.168.13.1 255.255.255.252 Bad mask /30 for address 192.168.13.3 R3(config-if)#no shutdown R3(config)#interface f0/1 R3(config-if)#ip address dhcp R3(config-if)#no shutdown R3(config-if)#interface f0/1 R3(config-if)#no shutdown R3(config-if)#ip address 192.168.20.254 255.255.255.0 R3(config)#router ospf 3 R3(config-router)#network 192.168.13.0 0.0.0.3 area 0 R3(config-router)#network 192.168.14.0 0.0.0.255 area 0 R3(config-router)#network 192.168.20.0 0.0.0.255 area 0 R3(config-router)#default-information originate R3(config)#access-list 1 permit any R3(config)#ip nat inside source list 1 interface f0/0 overload R3(config)#interface f0/0 R3(config-if)#ip nat outside R3(config-if)#interface f0/1 R3(config-if)#ip nat inside R3(config-if)#interface s0/0/0 R3(config-if)#ip nat inside R3(config-if)#exit ​6. Router ISP Mã: ISP(config)#interface f0/0 ISP(config-if)#ip address 8.8.8.254 255.255.255.0 ISP(config-if)#no shutdown ISP(config-if)#interface f0/1 ISP(config-if)#ip address 123.123.123.123 255.255.0.0 ISP(config-if)#no shutdown ISP(config)#ip dhcp pool ISP ISP(dhcp-config)#network 123.123.0.0 255.255.0.0 ISP(dhcp-config)#default-router 123.123.123.123 ISP(dhcp-config)#dns-server 8.8.8.8 ​==> Tới đây đã hoàn thành các bước xây dựng xong một mạng LAN cho phép đi internet. Tiếp theo chúng ta cần viết các chính sách để quản lý hệ thống mạng LAN Sửa lần cuối: 25/07/2016 root

root

Moderator
III. Cấu hình Access list cho Router 1. Access List cho Router cấm VLAN 1 liên lạc VLAN 4 - Cấm Source IP là VLAN 1 : 192.168.1.0/24 - Cấm trên interface:
  • f0/1.1 của R1 thì các pc VLAN 1 sẽ ko ping được các mạng #
  • S0/0/0 của R1 thì VLAN ko ping được các mạng #
  • s0/0/0 của R2 tương tự
  • f0/1 của R2 ko ảnh hưởng vì VLAN 4 sử dụng sub-interface f0/1.1 của R2
  • f0/1.1 của R2 là hợp lý.
==> Nên áp Access list trên cổng gần đích đến nhất - Hướng dữ liệu sẽ có Source IP là VLAN 1(192.168.1.0/24) đi vào cổng s0/0/0 của R2 và đi ra cổng f0/1.1 của R2 ==> Nên Access list sẽ được áp trên interface f0/1.1 theo chiều out - Cú pháp: Mã: Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255 Router(config)#interface f0/1.1 Router(config-if)#ip access-group 1 out - Kiểm tra ta thấy
  • VLAN 1 không ping được VLAN 4 -> thỏa yêu cầu
  • nhưng VLAN 2 cũng không ping được VLAN 4. Nguyên nhân là do trong Access List của router luôn tồn tại dòng deny all
=> Ta cần thêm dòng "permit any" vào Access List để các VLAN khác vẫn có thể ping được VLAN 4 bình thường Mã: Router(config)#access-list 1 permit any ​2. Access list cho Router cấm thêm VLAN 3 ping VLAN 4 - Thêm dòng Mã: Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255 - Kiểm tra thì thấy VLAN 3 vẫn ping được tới VLAN 4 - Kiểm tra Access list - Ta thấy lúc ta thêm 1 câu lệnh deny VLAN 3 vào Access List thì Access List sẽ đẩy các lệnh trước của mình đã nhập vào Access List . Lúc này Access List sẽ thực thi từ trên xuống dưới.
  • B1: access list chạy vào dòng đầu tiên là deny VLAN 3.
  • B2: access list chạy tới dòng permit any lúc này access list cho phép mọi VLAN ping đến VLAN 4
=> Lúc này nó sẽ ảnh hưởng dòng dưới cùng của access list tức là "permit any". Nên VLAN 3 vẫn ping được VLAN 4 bình thường. - Ta thực hiện xóa dòng permit any và thêm vào lại để nó được lên đầu tiên Mã: R2(config)#no access-list 1 permit any Lúc này kiểm tra lại access list thì thấy Access List rỗng. => Khi xóa 1 dòng bất kì của Access List standard thì acess list sẽ bị xóa sạch và làm lại từ đầu 3. Access List cho Router cấm VLAN 2 không truy cập web được đến web server - Lúc này ta không thê dùng Access List dạng Standard mà phải dùng dạng Extend để chặn chi tiết hơn Mã: R1(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.20.2 eq 80 R1(config)#access-list 100 permit ip any any R1(config)#interface f0/0 R1(config-if)#ip access-group 100 out ​- Áp Access List vào cổng
  • F0/1 của R3: ta thấy traffic từ VLAN 2 đi qua R2 qua đường serial rồi đến s0/0/0 của R3 rồi mới tới f0/1 của R3. Lúc này Access List trên f0/1 mới xử lý chặn
==> Ta thấy mất 1 khoảng traffic chạy trên mạng mà Bandwidth trên serial rất thấp nên không tối ưu
  • tương tự khi đưa Access List vào f0/0 của R2 s0/0/0 của R2 và R3
  • f0/1.2 của R1: lúc này khi ta muốn viết thêm 1 Access List cấm VLAN 1 thì ta lại vào interface f0/1.1 của R1 viết thêm 1 Access List => có nhiều Access List trên 1 Router => giảm hiệu năng của Access List
  • f0/0 của R1 : lúc này ta viết 1 Access List mà có thể cấm VLAN nào mà ta tùy chọn
==> Kiểu Access list Extend có thể cấm bất kỳ cổng nào nhưng nên áp trên cổng nào hiệu quả nhất nên tốt nhất là gần nguồn nhất 4. Access List trên Router cấm VLAN telnet đến R2 - Telnet giữa:
  • Router,Sw <-> Router,Sw ; Router,Sw <-> PC : viết Acl áp vào cổng luận lý (vty)
  • Pc <-> PC : viết Access List áp vào cổng vật lý
- Nên viết Access List trên vty thì nên viết theo kiểu standard vì khi ta viết Access List trên vty bằng kiểu extended thì ta cần có sour.IP và des.IP mà trên Router có nhiều cổng nên có nhiều IP -> liệt kê hết cả cổng trên Router ==> Ta dùng kiểu standard vì chỉ có sourIP - Đối với vty cảu Router Mã: Router(config-line)#[ip] access-class {in | out} - nếu dùng dạng name-ACL thì có thêm ip 5. Access list cho Router cấm VLAN ra internet - Khi viết Access List ra internet thì phải viết trên Router biên vì khi ra internet ta không biết des.IP => ta dùng any. - Không được viết trên cổng ra internet vì trước khi ra internet trên Router sẽ thực hiện NAT lúc này ta xác định sai source.IP => Nên ta phải áp Access List trên cổng đi vào - Deny VLAN ra internet Mã: R3(config)#ip access-list extended internet R3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80 - Lúc này trên bảng định tuyến sẽ bị mất sạch và neighber sẽ không còn trên R3. Hệ thống mạng sẽ bị mất mạng nếu ta không permit any Mã: R3(config)#ip access-list extended internet R3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80 R3(config-ext-nacl)#permit ip any any ​ Sửa lần cuối: 25/07/2016 K

khoa.ntk01

Intern
root ơi, mất ảnh rồi, up lại ảnh nha root root

root

Moderator
đã upload lại hình bài lab nhé! thanks D

duyphuong0203

Intern
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế .. D

duyphuong0203

Intern
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế .. mà R3 192.168.14.0 192.168.20.0 ở đâu nhỉ sao ko có trong hình vẽ root

root

Moderator
duyphuong0203 nói: có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế .. mà R3 192.168.14.0 192.168.20.0 ở đâu nhỉ sao ko có trong hình vẽ Nhấn để mở rộng...
Đã upload lại hình vẽ và R3 như hình vẽ nhé bạn Bạn phải đăng nhập hoặc đăng ký để bình luận. Chia sẻ: Facebook X (Twitter) LinkedIn Reddit Pinterest Tumblr WhatsApp Email Chia sẻ Link
  • Diễn đàn
  • NETWORK SOLUTIONS
  • Switching & Routing
  • Cisco
  • Lab
  • Trang web này sử dụng cookie. Tiếp tục sử dụng trang web này đồng nghĩa với việc bạn đồng ý sử dụng cookie của chúng tôi. Accept Tìm hiểu thêm.…
Back Top

Từ khóa » Câu Lệnh Access List