LAB 4-2: EXTENDED ACCESS-LIST

Mô tả:
–Lab này mô tả cách lọc các gói sử dụng extended access-list.
Router A cho phép tất cả lưu lưu lượng từ PCC (150.1.1.2) đến
PCA (152.1.1.2) và từ chối tất cả các lưu lượng từ PCC
(150.1.1.2) tới PCB (152.1.1.3). Extened Access-list được sử
dụng vì cần lọc trên cả địa chỉ IP nguồn và đích.
–Router A và RouterB nối bằng đường serial và đặt địa chỉ IP như
trên hình. RouterA và RouterB có địa chỉ IP secondary tạo trên
cổng Ethernet để làm điểm kiểm tra.
–Access-list được dùng để lọc ngõ vào trên cổng serial của
RouterA, cho phép các gói từ PCC 150.1.1.2 tới PCA và không
cho phép các gói từ PCC tới PCB.
Cấu hình:
Router A:
!
hostname RouterA
!
no ip domain-lookup
!
interface Ethernet0
ip address 152.1.1.2 255.255.255.0 secondary ← Đị a chỉ
IP thứhai đểlàm điể
m kiểm tra
ip address 152.1.1.3 255.255.255.0 secondary
ip address 152.1.1.1 255.255.255.0
no keepalive ← vô hiệ
u hóa keepalive trên router cho
phép cổng ethernet0 vẫn up khi không kết nố
i ra bên
ngoài
!
interface Serial0
ip address 195.1.1.4 255.255.255.0
ip access-group 100 in ← Dùng Access-list 100 cho tấ t
cảlưu lượ
ng vào trên đường serial0
!
no ip classless
ip route 150.1.1.0 255.255.255.0 Serial0 ← dùng đị nh
tuyế
n tĩ
nh (không dùng định tuyế
n độ
ng)
ip route 151.1.1.1 255.255.255.255 Serial0
access-list 100 permit ip host 150.1.1.2 host 152.1.1.2
log ← tổng hợ p các bả
n tin thông tin vềcác gói thoả
điều kiệ
n.
access-list 100 deny ip host 150.1.1.2 host 152.1.1.3
log ← Loạ i tất cảcác gói IP từ150.1.1.2 tới
152.1.1.3; tổ ng hợ
p bản tin thông báo vềcác gói thoả
điều kiệ
n.
(Chú ý: tấ t cảcác gói khác ngầm hiể
u là bịloạ
i bỏ
;
tấ
t cảcác access list đề u kế
t thúc bằ
ng câu lệ
nh loạ
i
bỏtất cả)
!
!
line con 0
line vty 0 4
login
!
end

Router B:
!
hostname RouterB
!
interface Loopback0
ip address 150.1.1.1 255.255.255.255
!
interface Ethernet0
ip address 150.1.1.2 255.255.255.0 secondary
ip address 150.1.1.1 255.255.255.0
no keepalive
!
interface Serial0
ip address 195.1.1.10 255.255.255.0
clock rate 64000
!
no ip classless
ip route 152.1.1.0 255.255.255.0 Serial0
!
line con 0
line vty 0 3
login
!
end
Chú ý:Khi tạo access list tất cả các mục tuần tự theo thứ tự như
khi ta đánh vào. Tất cả các câu lệnh thêm vào sau đó sẽ đặt ở vị
trí tiếp của access list. Cuối access list luôn có câu lệnh loại bỏ
tất cả, do đó một access list phải có ít nhất một lệnh permit. Tốt
nhất là soạn thảo access list trước (dùng Notepad chẳng hạn) sau
đó cut và paste vào CLI của router.

Kiểm tra:
- Sử dụng ping mở rộng (extended ping) trên RouterB hướng gói
tới các địa chỉ IP secondary tạo ra trong cấu hình dùng địa chỉ
nguồn khác nhau (cách này dùng thay cho nhiều PC ở trong
mạng LAN của RouterA và RouterB).
1. Từ RouterB, ping 152.1.1.3 dùng nguồn là 1501.1.2
–Dùng lệnh debug ip packet trên RouterA, ta thấy các gói bị loại
bỏ và bản tin ICMP host unreachable được gởi
IP: s=150.1.1.2 (Serial0), d=152.1.1.3, len 100, access
denied
IP: s=195.1.1.4 (local), d=150.1.1.2 (Serial0), len 56,
sending ← ICMP host unreachable
–Dùng lệnh show ip access-list trên RouterA. Chú ý các dòng
hiển thị chỉ loại access list và số các điều kiện thoả của mỗi mục.
RouterA#show ip access-lists
Extended IP access list 100
permit ip host 150.1.1.2 host 152.1.1.2 log (5 matches)
deny ip host 150.1.1.2 host 152.1.1.3 log (105 matches)
–Tùy chọn log sẽ tổng hợp các bản tin thông báo mọi gói thoả
điều kiện. Từ khóa log được đặt ở cuối câu lệnh access-list. Bản
tin logging là công cụ tốt để kiểm soát lỗi access list.
SEC-6-IPACCESSLOGDP: list 100 denied icmp 150.1.1.2 ->
152.1.1.3 (0/0). 4 packets
2. Từ RouterB, ping 152.1.1.3 dùng nguồn 150.1.1.2
–Tại RouterA, lệnh debug ip packet hiển thị trên RouterA, ta có
thể thấy các gói được cho phép.
IP: s=150.1.1.2 (Serial0), d=152.1.1.2, len 100, rcvd 7
–Dùng lệnh show ip access-list để xem số lượng các gói thoã điều
kiện.
RouterA# show ip access-lists
Extended IP access list 100
permit ip host 150.1.1.2 host 152.1.1.2 log (308
matches)
deny ip host 150.1.1.2 host 152.1.1.3 log