• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab 20-2: Vlan Access – List

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab 20-2: Vlan Access – List

    Lab 20-2: Vlan Access – List

    Vlan Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình Vlan Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoạc cho các loại thông tin đó lưu thông trong mạng.
    Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan)
    Vlan Access-list có các dặc tính như Router Access-list(RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin

    Trong phạm vi bài Lab gồm hai phần:

    -Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan

    -Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan

    1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan

    Đồ hình



    Mô tả:Trong Vlan 10 dùng một Cisco Router dùng làm Access server, được cấu hình với địa chỉ 192.168.10.254/24, cho phép telnet. Management IP của Vlan 10 là 192.168.10.1/24, các Work Station có địa chỉ từ 192.168.10.2……..192.168.1.253/24. Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng 192.168.10.2/24 đến 192.168.10.15/24 không thể telnet vào Access Server, ngoại trừ 192.168.10.3/24 (192.168.10.3/24 vẫn có thể telnet vào).



    Thông tin về trạm 192.168.10.3
    Dùng một Work Station trong khoảng cấm để thử nghiệm:giả sử dùng trạm 192.168.10.4



    Các bước cấu hình:
    1. Để mô tả bài Lab, trước hết phải cấu hình cơ bản gồm Vlan, và các máy trạm như đồ hình. Cấu hình Vlan
    Vnpro#vlan database
    Vnpro(vlan)#vtp domain Vnpro
    Changing VTP domain name from NULL to Vnpro
    Vnpro(vlan)#vlan 10 name Admin
    VLAN 10 added:
    Name: Admin
    Vnpro(vlan)#vlan 20 name User
    VLAN 20 added:
    Name: User
    Vnpro(vlan)#apply
    APPLY completed.
    Vnpro(vlan)#exit
    APPLY completed.
    Exiting....
    Cấu hình Management IP cho các Vlan
    Vnpro#config terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Vnpro(config)#interface vlan 1
    Vnpro(config-if)#ip address 192.168.1.1 255.255.255.0
    Vnpro(config-if)#no shutdown
    Vnpro(config-if)#exit
    00:06:14: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
    Vnpro(config)#interface vlan 10
    Vnpro(config-if)#ip address 192.168.10.1 255.255.255.0
    Vnpro(config-if)#no shutdown
    Vnpro(config-if)#exit
    Vnpro(config)#
    00:07:05: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
    Vnpro(config)#interface vlan 20
    Vnpro(config-if)#ip address 192.168.20.1 255.255.255.0
    Vnpro(config-if)#no shut
    Vnpro(config-if)#exit
    00:06:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down
    Sau khi cấu hình Vlan, người dùng có thể đưa các port vào các Vlan tương ứng
    Bước 2:
    Cấu hình Vlan Accest-list
    -Cấu hình access-list
    Vnpro(config)#ip access-list extended VnproAllow1
    Vnpro(config-ext-nacl)#permit tcp host 192.168.10.3 host 192.168.10.254 eq tenet
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#ip access-list extended VnproBlock1
    Vnpro(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#ip access-list extended VnproDefault1
    Vnpro(config-ext-nacl)#permit tcp any any
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#
    kiểm tra thông tin về Access-list
    Vnpro#show ip access-lists
    Extended IP access list VnproAllow1
    permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet
    Extended IP access list VnproBlock1
    permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
    Extended IP access list VnproDefault1
    permit tcp any any
    Vnpro#

    Khái niệm Access-list không còn bó hẹp trong ý nghĩa thông thường (dùng để chặn traffic, hay chặn các IP), Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đối với từng loại traffic hay IP đã phân loại, người dùng có thể có chính sách đối xử khác nhau. Lấy VD trong bài Lab này, dùng các Access-list phân các Work Station thành các nhóm sau
    - VnproAllow1 tương ứng với host 192.168.10.3, loại traffic “tcp cụ thể là telnet”
    -VnproBlock1 tương ứng với host từ 192.168.10.1/28 đến 192.168.10.15/28 , loại traffic “tcp cụ thể là telnet”
    -VnproDefault tương ứng với các host còn lại trong Vlan 10, loại traffic “tcp cụ thể là telnet”
    Sau tuỳ vào từng nhóm, người dùng có các chính sách khác nhau:cụ thể như sau:
    -Đối với nhóm VnproAllow1: cho phép
    -Đối với nhóm VnproBlock1: bị cấm (tức traffic tương ứng khi truy cập đến IP tương ứng trong nhóm này sẽ bị DROP)
    -Đối với nhóm VnproDefault1: cho phép.
     Nguyên tắc: sau khi có chính sách cấm các loại traffic truy cập đến các IP tương ứng nào đó, cần thiết phải kết thúc với Access-list có nội dung “permit any any”, nếu không, do tính chất “implicit deny” của Access-list, các host khác sẽ bị cấm đối với mọi loại traffic còn lại.
    Trong trường hợp bài Lab, nhóm VnproDefault1 được dùng với chức năng nêu trên. Cấu hình Vlan Access-map (dùng để áp đặt chính sách đối với từng nhóm đã phân loại)
    Vnpro(config)#vlan access-map VnproMap1 10
    Vnpro(config-access-map)#match ip address VnproAllow1
    Vnpro(config-access-map)#action forward
    Vnpro(config-access-map)#exit
    Vnpro(config)#vlan access-map VnproMap1 20
    Vnpro(config-access-map)#match ip address VnproBlock1
    Vnpro(config-access-map)#action drop
    Vnpro(config-access-map)#exit
    Vnpro(config)#vlan access-map VnproMap1 30
    Vnpro(config-access-map)#match ip address VnproDefault1
    Vnpro(config-access-map)#action forward
    Vnpro(config-access-map)#end
    00:18:33: %SYS-5-CONFIG_I: Configured from console by console
    Kiểm tra thông tin về Vlan Access-map vừa cấu hình
    Vnpro#show vlan access-map
    Vlan access-map "VnproMap1" 10
    Match clauses:
    ip address: VnproAllow1
    Action:
    forward
    Vlan access-map "VnproMap1" 20
    Match clauses:
    ip address: VnproBlock1
    Action:
    Drop
    Vlan access-map "VnproMap1" 30
    Match clauses:
    ip address: VnproDefault1
    Action:
    forward
    Muốn kích hoạt các chính sách đó, phải áp dụng (apply) các Access-map này vào Vlan cụ thể (trong trường hợp này là Vlan 10.
    Trước khi Apply vào Vlan 10, host 192.168.10.3/28 và 192.168.10.4/28 đều có thể telnet vào 192.168.10.254


    Kết quả telnet thành công từ Work Station 192.168.10.3/24 và 192.168.10.4/24 vào Access Server 192.168.10.254. Apply vào một Vlan (kích hoạt các Access-map trên Vlan 10).
    Vnpro(config)#vlan fiter VnproMap1 vlan-list 10
    Kiểm tra
    Vnpro#show vlan filter
    VLAN Map VnproMap1 is filtering VLANs:
    10
    Kiểm tra sự hoạt động của Vlan Access-list sau khi kích hoạt bằng cách tiến hành telnet từ các Work Station 192.168.10.3/28 và 192.168.10.4/28 và ghi nhận kết quả.


    Work Station 192.168.10.3/28 vẫn telnet thành công vào Access Server 192.168.10.254 vì Work Station này có địa chỉ IP được phân loại bởi nhóm VnproAllow1, và chính sách áp dụng cho nhóm này là “action: forward”. Workstation 192.168.4/28 bị từ chối khi telnet vào Access Server 192.168.254 vì Work Station này có địa chỉ IP được phân loại bợi nhóm VnproBlock1, và chính sách áp dụng cho nhóm này là “action: drop”. Đối với các Work Station còn lại nằm trong nhóm VnproDefault1 vẫn có thể telnet vào Access Server 192.168.10.254 vì chính sách đối với nhóm này là “action: forward”. Tuy nhiên khi chú ý cấu hình “VnproDefault1 ” như sau:
    Vnpro(config)#ip access-list extended VnproDefault1
    Vnpro(config-ext-nacl)#permit tcp any any
    Vnpro(config-ext-nacl)#exit
    Với cấu hình như vậy, các Work Station trong nhóm VnproDefaul1 chỉ có thể telnet chứ không thể ping thấy Access Server do “quên” dòng lệnh “permit ip any any”.


    Muốn ping thấy Access Server cần cấu hình như sau:
    Vnpro(config)#ip access-list extended VnproDefault1
    Vnpro(config-ext-nacl)#permit tcp any any
    Vnpro(config-ext-nacl)#permit ip any any
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#
    Đó là do đặc tính “implicit deny” của Access-list . Phần 2 sẽ minh hoạ việc khắc phục lỗi trên. Một lưu ý khác:khi được kích hoạt, các Access-list sẽ kiểm tra theo thứ tự từ trên xuống, gặp dúng điều kiện, Switch sẽ áp đặt chính sách đã được cấu hình vào rồi kết thúc quá trình kiểm tra. Trong bài Lab này, nếu đổi thứ tự các Access-map, kết quả sẽ hoàn toàn khác.
    VD :nếu đặt vào”VnproMap1 10” cấu hình như sau:
    Vnpro(config)#vlan access-map VnproMap1 10
    Vnpro(config-access-map)#match ip address VnproDefault1
    Vnpro(config-access-map)#action forward
    Vnpro(config-access-map)#exit
    Access-map sẽ được kiểm tra từ trên xuống, ngay lần kiểm tra đầu tiên gặp “permit ip any any” vì tất cả các IP đều thoả điều kiện “any any”Switch lập tức áp đặt chính sách “action: forward” và nhóm này rối kết thúc quá trình kiểm tra. Kết quả : tất cả các Work Station đều có thể telnet vào Access Server 192.168.10.254 (kể cả các Work Station có địa chỉ IP trong khoảng 192.168.10.1/28 đến 192.168.10.15/28)
    Vì vậy khi cấu hình, thứ tự các Access-list và Access-map là một điều hết sức quan trọng.
    Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan

    Đồ hình


    Cấu hình InterVlan Routing: Tham khảo cấu hình InterVlan Routing trong bài InterVlan Routing & MultiLayer Switching
    Trong trường hợp này InterVlan Routing dùnh giao thức định tuyến Rip để dợn giản hoá cấu hình (vì mục tiêu chính là: minh hoạ VACLs)

    Mô tả: Trong phần này , cấu hình Vlan Access-list áp dụng vào Vlan 20
    Dùng Cisco Router kết nối với MultiLayer Switch qua công FastEthernet có sơ đồ địa chỉ như hình vẽ, Router có hostname là “Remote” dùng làm Access Server.
    Management IP của Vlan 20 là 192.168.20.1/24, các Work Station có địa chỉ từ 192.168.20.2……..192.168.20.253/24.
    Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng 192.168.20.2/24 đến 192.168.20.15/24 không thể telnet vào Access Server, ngoại trừ 192.168.20.3/24 (192.168.20.3/24 vẫn có thể telnet vào Remote router 10.200.0.2/24).
    Các bước tiến hành tương tự như trên:
    Cấu hình MLS trên Switch Vnpro
    Vnpro(config)#interface fa0/1
    Vnpro(config-if)#no switchport
    Vnpro(config-if)#
    Vnpro(config-if)#ip address 10.200.0.1 255.255.255.0
    Vnpro(config-if)#no shutdown
    Vnpro(config-if)#exit
    01:28:35: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
    01:28:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
    Vnpro(config)#ip routing
    Vnpro(config)#router rip
    Vnpro(config-router)#network 192.168.1.0
    Vnpro(config-router)#network 192.168.10.0
    Vnpro(config-router)#network 192.168.20.0
    Vnpro(config-router)#network 10.200.0.0
    Vnpro(config-router)#^Z
    01:29:53: %SYS-5-CONFIG_I: Configured from console by console
    Cấu hình địa chỉ IP và định tuyến trên Remote router
    Remote#config terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Remote(config)#interface Ethernet0/0
    Remote(config-if)#ip address 10.200.0.2 255.255.255.0
    Remote(config-if)#no shutdown
    Remote(config-if)#exit
    Remote(config)#interface loopback 0
    Remote(config-if)#ip address 172.168.0.1 255.255.255.0
    Remote(config-if)#no shutdown
    Remote(config-if)#exit
    Remote(config)#router rip
    Remote(config-router)#network 10.200.0.0
    Remote(config-router)#network 172.168.0.0
    Remote(config-router)#^Z
    Kiểm tra thông tin định tuyến trên Remote router vào Vnpro Switch
    Vnpro#show ip route
    Gateway of last resort is not set
    C 192.168.10.0/24 is directly connected, Vlan10
    R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:24, FastEthernet0/1
    C 192.168.20.0/24 is directly connected, Vlan20
    10.0.0.0/24 is subnetted, 1 subnets
    C 10.200.0.0 is directly connected, FastEthernet0/1
    Cấu hình các Vlan Access-list mới
    Vnpro#telnet 10.200.0.2
    Trying 10.200.0.2 ... Open
    User Access Verification
    Password: cisco
    Remote>enable
    Password: vnpro
    Remote#show ip route

    Gateway of last resort is not set

    R 192.168.10.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0
    172.168.0.0/24 is subnetted, 1 subnets
    C 172.168.0.0 is directly connected, Loopback0
    R 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0
    10.0.0.0/24 is subnetted, 1 subnets
    C 10.200.0.0 is directly connected, Ethernet0/0
    Vnpro(config)#ip access-list extended VnproAllow2
    Vnpro(config-ext-nacl)#permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#ip access-list extended VnproBlock2
    Vnpro(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#ip access-list extended VnproDefault2
    Vnpro(config-ext-nacl)#permit tcp any any
    Vnpro(config-ext-nacl)#permit ip any any
    Vnpro(config-ext-nacl)#end
    Vnpro#
    01:56:55: %SYS-5-CONFIG_I: Configured from console by console
    Kiểm tra thông tin về Access-list
    Vnpro#show ip access-lists
    Extended IP access list VnproAllow1
    permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet
    Extended IP access list VnproAllow2
    permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet
    Extended IP access list VnproBlock1
    permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
    Extended IP access list VnproBlock2
    permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet
    Extended IP access list VnproDefault1
    permit tcp any any
    Extended IP access list VnproDefault2
    permit tcp any any
    permit ip any any
    Vnpro#
    Cấu hình Vlan Access-map
    Vnpro#config terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Vnpro(config)#vlan access-map VnproMap2 10
    Vnpro(config-access-map)#match ip address VnproAllow2
    Vnpro(config-access-map)#action forward
    Vnpro(config-access-map)#exit
    Vnpro(config)#vlan access-map VnproMap2 20
    Vnpro(config-access-map)#match ip address VnproBlock2
    Vnpro(config-access-map)#action drop
    Vnpro(config-access-map)#exit
    Vnpro(config)#vlan access-map VnproMap2 30
    Vnpro(config-access-map)#match ip address VnproDefault2
    Vnpro(config-access-map)#action forward
    Vnpro(config-access-map)#end
    Vnpro(config)#
    Kiểm tra thông tin Vlan Access-list
    Vnpro#show vlan access-map
    Vlan access-map "VnproMap1" 10
    Match clauses:
    ip address: VnproAllow1
    Action:
    forward
    Vlan access-map "VnproMap1" 20
    Match clauses:
    ip address: VnproBlock1
    Action:
    drop
    Vlan access-map "VnproMap1" 30
    Match clauses:
    ip address: VnproDefault1
    Action:
    forward
    Vlan access-map "VnproMap2" 10
    Match clauses:
    ip address: VnproAllow2
    Action:
    forward
    Vlan access-map "VnproMap2" 20
    Match clauses:
    ip address: VnproBlock2
    Action:
    drop
    Vlan access-map "VnproMap2" 30
    Match clauses:
    ip address: VnproDefault2
    Action:
    forward
    Vnpro#
    Khi chưa áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20, tất cả các Work Station trên Vlan 20 đều có thể telnet và Ping thành công Remote router
    Work Station telnet thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2” vào Vlan 20


    Work Station ping thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2” vào Vlan 20

    Áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20
    Vnpro(config)#vlan filter VnproMap2 vlan-list 20
    Kiểm tra cấu hình Vlan Access-map khi đã áp dụng vào các Vlan trên Switch
    Vnpro#show vlan filter
    VLAN Map VnproMap1 is filtering VLANs:
    10
    VLAN Map VnproMap2 is filtering VLANs:
    20
    Kiểm tra sự hoạt động của Vlan Access-list sau khi áp dụng Vlan Access-map “VnproMap2” vào Vlan 20 bằng cách ping và telnet Remote router từ các Work Station



    và ghi nhận kết quả.
    Từ kết quả trên có thể thấy:Work Station có IP 192.168.20.4/28 chỉ có thể ping chứ không thể telnet vào Remote router 10.200.0.2/24, qua đó thấy được tính năng của VACLs trong môi trường intervlan. Lưu ý: không như ở phần1, sau khi áp dụng Vlan Access-map VnproMap2 vào Vlan 20. Work Station 192.168.20.4/28 chỉ bị cấm khi gửi traffic “tcp cụ thể là telnet” đến Remote router qua IP10.200.0.2/24, còn các loại traffic khác( trong trường hợp này là ip vẫn trong suốt (transparent) với Vlan Access-list). Tính chất “implicit deny” của Access-list đã được khắc phục so với cấu hình trình bày ở phần1.
    Tham khảo sự khác biệt đó qua đặc điểm sau:
    Phần 1:
    Vnpro(config)#ip access-list extended VnproDefault1
    Vnpro(config-ext-nacl)#permit tcp any any
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#
    Phần 2:
    Vnpro(config)#ip access-list extended VnproDefault2
    Vnpro(config-ext-nacl)#permit tcp any any
    Vnpro(config-ext-nacl)#permit ip any any
    Vnpro(config-ext-nacl)#exit
    Vnpro(config)#
    Trong tất cả mọi trường hợp, khi sử dụng Access-list nói chung, Cần chú ý trình tự của các Access-list sử dụng, và đặc tính “implicit deny” của chúng .
    Cấu hình tham khảo của Switch

    Vnpro
    !
    hostname Vnpro
    !
    enable secret 5 $1$FW/z$z49gfElHWknNIvPIOfZEG0
    enable password cisco
    !
    ip subnet-zero
    ip routing
    !
    spanning-tree mode pvst
    spanning-tree extend system-id
    !
    vlan access-map Vnpr1 10
    action forward
    vlan access-map VnproMap1 10
    action forward
    match ip address VnproAllow1
    vlan access-map VnproMap1 20
    action drop
    match ip address VnproBlock1
    vlan access-map VnproMap1 30
    action forward
    match ip address VnproDefault1
    vlan access-map VnproMap2 10
    action forward
    match ip address VnproAllow2
    vlan access-map VnproMap2 20
    action drop
    match ip address VnproBlock2
    vlan access-map VnproMap2 30
    action forward
    match ip address VnproDefault2
    vlan filter VnproMap1 vlan-list 10
    vlan filter VnproMap2 vlan-list 20
    !
    !
    interface FastEthernet0/1
    no switchport
    ip address 10.200.0.1 255.255.255.0
    !
    interface FastEthernet0/2
    no ip address
    !
    interface FastEthernet0/3
    no ip address
    !
    interface FastEthernet0/4
    no ip address
    !
    interface FastEthernet0/5
    switchport access vlan 10
    no ip address
    !
    interface FastEthernet0/6
    switchport access vlan 10
    no ip address
    !
    interface FastEthernet0/7
    switchport access vlan 10
    no ip address
    !
    interface FastEthernet0/8
    switchport access vlan 10
    no ip address
    !
    interface FastEthernet0/9
    switchport access vlan 20
    no ip address
    !
    interface FastEthernet0/10
    switchport access vlan 20
    no ip address
    !
    interface FastEthernet0/11
    switchport access vlan 20
    no ip address
    !
    interface FastEthernet0/12
    switchport access vlan 20
    no ip address
    !
    interface GigabitEthernet0/1
    no ip address
    !
    interface GigabitEthernet0/2
    no ip address
    !
    interface Vlan1
    ip address 192.168.1.1 255.255.255.0
    !
    interface Vlan10
    ip address 192.168.10.1 255.255.255.0
    !
    interface Vlan20
    ip address 192.168.20.1 255.255.255.0
    !
    router rip
    network 10.0.0.0
    network 192.168.1.0
    network 192.168.10.0
    network 192.168.20.0
    !
    ip classless
    ip http server
    !
    ip access-list extended VnproAllow1
    permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet
    ip access-list extended VnproAllow2
    permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet
    ip access-list extended VnproBlock1
    permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
    ip access-list extended VnproBlock2
    permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet
    ip access-list extended VnproDefault1
    permit tcp any any
    ip access-list extended VnproDefault2
    permit tcp any any
    permit ip any any
    !
    end

    Vnpro#show vlan
    VLAN Name Status Ports
    ---- -------------------------------- --------- -------------------------------
    1 default active Fa0/2, Fa0/3, Fa0/4, Gi0/1
    Gi0/2
    10 Admin active Fa0/5, Fa0/6, Fa0/7, Fa0/8
    20 User active Fa0/9, Fa0/10, Fa0/11, Fa0/12
    1002 fddi-default active
    1003 token-ring-default active
    1004 fddinet-default active
    1005 trnet-default active

    VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
    ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
    1 enet 100001 1500 - - - - - 0 0
    10 enet 100010 1500 - - - - - 0 0
    20 enet 100020 1500 - - - - - 0 0
    1002 fddi 101002 1500 - - - - - 0 0
    1003 tr 101003 1500 - - - - - 0 0
    1004 fdnet 101004 1500 - - - ieee - 0 0
    1005 trnet 101005 1500 - - - ibm - 0 0
    Remote SPAN VLANs
    ------------------------------------------------------------------------------

    Primary Secondary Type Ports
    ------- --------- ----------------- ------------------------------------------
    Vnpro#show vlan access-map
    Vlan access-map "VnproMap1" 10
    Match clauses:
    ip address: VnproAllow1
    Action:
    forward
    Vlan access-map "VnproMap1" 20
    Match clauses:
    ip address: VnproBlock1
    Action:
    drop
    Vlan access-map "VnproMap1" 30
    Match clauses:
    ip address: VnproDefault1
    Action:
    forward
    Vlan access-map "VnproMap2" 10
    Match clauses:
    ip address: VnproAllow2
    Action:
    forward
    Vlan access-map "VnproMap2" 20
    Match clauses:
    ip address: VnproBlock2
    Action:
    drop
    Vlan access-map "VnproMap2" 30
    Match clauses:
    ip address: VnproDefault2
    Action:
    forward

    Vnpro#show ip access-list
    Extended IP access list VnproAllow1
    permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet
    Extended IP access list VnproAllow2
    permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet
    Extended IP access list VnproBlock1
    permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
    Extended IP access list VnproBlock2
    permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet
    Extended IP access list VnproDefault1
    permit tcp any any
    Extended IP access list VnproDefault2
    permit tcp any any
    permit ip any any

    Vnpro#show vlan filter
    VLAN Map VnproMap1 is filtering VLANs:
    10
    VLAN Map VnproMap2 is filtering VLANs:
    20

    Vnpro#show ip route
    Gateway of last resort is not set
    C 192.168.10.0/24 is directly connected, Vlan10
    R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:21, FastEthernet0/1
    C 192.168.20.0/24 is directly connected, Vlan20
    10.0.0.0/24 is subnetted, 1 subnets
    C 10.200.0.0 is directly connected, FastEthernet0/1
    Vnpro#ping 10.200.0.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.200.0.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

    Vnpro#ping 172.168.0.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.168.0.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    Vnpro#
    Cấu hình tham khảo của Remote Router
    Remote#show running-config
    Building configuration...

    Current configuration : 690 bytes
    !
    version 12.2
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname Remote
    !
    enable secret 5 $1$wDfm$5zcN0Px2wrN0be6jV74m60
    enable password cisco
    !
    memory-size iomem 10
    ip subnet-zero
    !
    !
    interface Loopback0
    ip address 172.168.0.1 255.255.255.0
    !
    interface Ethernet0/0
    ip address 10.200.0.2 255.255.255.0
    half-duplex
    !
    router rip
    network 10.0.0.0
    network 172.168.0.0
    !
    ip classless
    ip http server
    ip pim bidir-enable
    !
    dial-peer cor custom
    end


    Remote#show ip route
    Gateway of last resort is not set
    R 192.168.10.0/24 [120/1] via 10.200.0.1, 00:00:25, Ethernet0/0
    172.168.0.0/24 is subnetted, 1 subnets
    C 172.168.0.0 is directly connected, Loopback0
    R 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:25, Ethernet0/0
    10.0.0.0/24 is subnetted, 1 subnets
    C 10.200.0.0 is directly connected, Ethernet0/0


    Remote#ping 192.168.20.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.20.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

    Remote#telnet 192.168.20.4
    Trying 192.168.20.4 ...
    % Connection refused by remote host
    Attached Files
    Last edited by tranmyphuc; 27-05-2008, 12:30 AM.
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Tags: None
  • #2
    anh Minh ơi có thể post lai hình của bài này được không không ? thanks anh nhiều !

    Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)

    Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

    Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

    Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

    Hướng dẫn cài đặt cấu hình Retrospect Backup Server

    Cài đặt và cấu hình phần mềm FSA Audit Files Server

    CAMAPTRANG
    http://www.asterisk.vn

    Comment

    • #3
      HI

      download file word đính kèm.

      Thân
      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

      Email : dangquangminh@vnpro.org
      https://www.facebook.com/groups/vietprofessional/

      Comment

      • #4
        Thanks anh Minh nhiều!

        Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)

        Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

        Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

        Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

        Hướng dẫn cài đặt cấu hình Retrospect Backup Server

        Cài đặt và cấu hình phần mềm FSA Audit Files Server

        CAMAPTRANG
        http://www.asterisk.vn

        Comment

        • #5
          Tất cả các lab chẳng có xem được cái hình nào hết admin ơi,may cái file đính kèm thì mình o download dc không biết có phải do là người mới o nữa.Anh admin có thể gửi các hình giúp mình o? Email: thanhanh3010@yahoo.com

          Comment

          • #6
            upload lại file Wird của bài lab cho bạn:
            Code:
            http://www.4shared.com/file/49003281/eec70842/Vlan_Accesslist.html?
            Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

            Email : dangquangminh@vnpro.org
            https://www.facebook.com/groups/vietprofessional/

            Comment

            • #7
              Thanks a admin!

              Comment

              • #8
                Bài viết hay mà tâm huyết thế này sao diễn đàn lại không có nút Cảm ơn tác giả nhỉ. Cảm ơn.=D>=D>=D>

                Comment

                • #9
                  Các Bác cho em hỏi làm thế nào để làm một net ảo trên packet Tracer.Mô hình mạng em có 4 con Router,R1,2,3,4.con R3 Nat cho R1 ,R2 ra internet 8.8.8.8,con R4 được dùng để giả lập mạng.Cấu hình trên con R3 thì Ok ồi.Nhung khổ một nỗi là ở cổng outside F0/1 mình ko đặt IP thì nó ko Up kéo theo các cổng của R4 cũng ko Up. Các anh cho e hỏi .Làm thế nào để mình biến con R4 thành một địa chỉ Net dc

                  Comment

                  • #10
                    Originally posted by dangquangminh View Post
                    upload lại file Wird của bài lab cho bạn:
                    Code:
                    http://www.4shared.com/file/49003281/eec70842/Vlan_Accesslist.html?
                    File đính kèm tải về giải nén ra báo lỗi, link này thì không tồn tại nữa rồi admin ơi

                    Comment

                    • #11
                      Làm bài VACL này cũng hay nè bạn.

                      Attached Files
                      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                      Email : dangquangminh@vnpro.org
                      https://www.facebook.com/groups/vietprofessional/

                      Comment

                      • #12
                        Originally posted by dangquangminh View Post
                        Làm bài VACL này cũng hay nè bạn.
                        Xin cảm ơn admin

                        Comment

                        • #13
                          Originally posted by dangquangminh View Post
                          Làm bài VACL này cũng hay nè bạn.
                          Em chào admin, hôm qua em có nhận bài lab này, về làm thử trên EVE và GNS3. Em sử dụng 3 router để giả làm PC H1 (IP 192.168.1.1), H2 (IP 192.168.1.2) và Server S1 (IP 192.168.1.100) như bài mẫu.
                          Em có làm theo hướng dẫn:
                          Trên switch:
                          interface Ethernet0/1
                          switchport access vlan 10
                          switchport mode access
                          !
                          interface Ethernet0/2
                          switchport access vlan 10
                          switchport mode access
                          !
                          interface Ethernet0/3
                          switchport access vlan 10
                          switchport mode access
                          ------------------------------
                          access-list 100 permit ip any host 192.168.1.100
                          ------------------------------
                          vlan access-map NOT-TO-SERVER 10
                          match ip address 100
                          action drop
                          vlan access-map NOT-TO-SERVER 20
                          action forward
                          !
                          vlan filter NOT-TO-SERVER vlan-list 10
                          -------------------------------
                          Đã cấu hình như vậy, nhưng trên PC H1, và PC H2 vẫn ping được đến IP của Server S1, không biết vấn đề lỗi nằm ở đâu, mong được sự góp ý kiến của admin ạ.

                          H1>ping 192.168.1.2
                          Type escape sequence to abort.
                          Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
                          !!!!!
                          Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
                          H1>ping 192.168.1.100
                          Type escape sequence to abort.
                          Sending 5, 100-byte ICMP Echos to 192.168.1.100, timeout is 2 seconds:
                          .!!!!
                          Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
                          H1>

                          Comment

                          • #14
                            Em xin đính kèm lại sơ đồ
                            Attached Files

                            Comment

                              • Previous template Next
                              Working...
                              X