Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


10. IP Traffic Management Standard Access List, Extended Access List

Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 12-08-2009, 12:27 AM   #1
adminphuong
Administrator
 
Avatar của adminphuong
 
Gia nhập: Jul 2009
Trả Lời: 152
Kiểm soát truy cập vào router
KIỂM SOÁT TRUY CẬP VÀO ROUTER



Mô tả:
Access-list có thể dùng để kiểm soát các kết nối telnet tới router. Access-list cho phép xác định trạm nào được telnet vào router dựa trên địa chỉ IP. Lab này mô tả các hạn chế truy cập vào router thông qua giao diện web và telnet sử dụng stadard access-list, theo các yêu cầu sau:

* Chỉ cho PC1 telnet vào R2.
* Chỉ cho R1 telnet vào R2 với địa chỉ nguồn là 200.200.200.1
* Chỉ cho PC2 truy cập vào R2 qua giao diện web.

Cấu hình:
Router R1:

!
hostname R1
!
enable password cisco
!
ip subnet-zero
!
ip telnet source-interface Loopback0 <- dùng để thay đổi địa chỉ nguồn của các gói telnet từ router này
no ip domain-lookup
!
interface Loopback0
ip address 200.200.200.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.0.254 255.255.255.0
duplex auto
speed auto
no shutdown
!
interface Serial0/0
ip address 203.162.0.1 255.255.255.0
no shut
!
ip classless
ip route 162.16.0.0 255.255.0.0 203.162.0.2
ip route 172.16.0.0 255.255.0.0 203.162.0.2
no ip http server
!
line con 0
transport input none
line aux 0
line vty 0 4
no login
!
end

Router R2:

!
hostname R2
!
enable password cisco
!
ip subnet-zero
no ip domain-lookup
!
interface Loopback0
ip address 162.16.0.1 255.255.0.0
no ip directed-broadcast
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.0.0
no ip directed-broadcast
!
interface Serial0/0
ip address 203.162.0.2 255.255.255.0
no ip directed-broadcast
clockrate 64000
!
ip classless
ip route 192.168.0.0 255.255.255.0 203.162.0.1
ip route 200.200.200.0 255.255.255.0 203.162.0.1
ip http server <- bật web server lên, cho phép cấu hình router qua giao diện web
ip http access-class 3 <- bật access-list 3 để hạn chế truy cập vào giao diện web
!
access-list 2 permit 192.168.0.1
access-list 2 permit 200.200.200.1
access-list 3 permit 192.168.0.2 <- không khai báo wildcard mask, router sẽ cho là 0.0.0.0
!
line con 0
transport input none
line aux 0
line vty 0 4
access-class 2 in <- áp access-list 2 để hạn chế telnet vào router R2
no login <- cho phép telnet vào router không cần mật khẩu
!
end

Thực hiện:
1. Tạo các access-list:

R2(config)# access-list 2 permit 192.168.0.1 0.0.0.0
R2(config)# access-list 2 permit host 200.200.200.1 <- có thể thay thế wildcard mask 0.0.0.0 bằng từ khóa host
R2(config)# access-list 3 permit host 192.168.0.2

2. Áp access-list 2 vào các line vty để hạn chế truy cập vào R2 qua telnet.

R2(config)# line vty 0 4
R2(config-line)# access-class 2 in <- sử dụng từ khóa in trong lệnh access-class. Nếu dùng từ khóa out sẽ cấm khả năng telnet của R2 đến các host khác.

3. Bật web server trên R2 và áp access list 3 vào http server để hạn chế truy cập vào giao diện web:

R2(config)# ip http server
R2(config)# ip http access-class 3 <- xác định access-list 3 sẽ áp dụng trên mọi HTTP Request.

Khi áp access-class vào IOS webserver, không sử dụng từ khóa in . vì IOS Webserver chỉ có thể nhận các yêu cầu để tạo kết nối. access- list không thể áp cho các traffic chiều ra.

Kiểm tra:
- Telnet vào R2 từ R1:

R1#telnet 203.162.0.2 <- lúc này chưa cấu hình lệnh ip telnet source-interface lo0
Trying 203.162.0.2 ...
% Connection refused by remote host <- kết nối bị từ chối vì địa chỉ nguồn của gói telnet là 203.162.0.1 không thỏa access-list 2.

- Cần phải cấu hình R1 để các gói telnet có địa chỉ nguồn thỏa access-list 2 (200.200.200.1 – interface lo0)

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip telnet source-interface lo0
R1(config)#^Z
R1#telnet 203.162.0.2
Trying 203.162.0.2 ... Open

R2> <- telnet đến R2 thành công

- Telnet từ PC3 (172.16.0.3) vào R2.

C:\Windows\Desktop>telnet 172.16.0.254
Connecting To 172.16.0.254...Could not open connection to the host, on port 23.
No connection could be made because the target machine actively refused it. <- kết nối bị từ chối vì địa chỉ của PC3 không thỏa mãn access-list 2

- Telnet từ PC1 vào R2.

C:\Windows\Desktop>telnet 203.162.0.2

- Từ PC2 có thể truy cập vào R2 qua giao diện Web:
Từ Internet Explorer gõ http://203.162.0.2 vào thanh Address
Nhập User Name là R2 và mật khẩu là cisco

Theo: vnpro

adminphuong vắng mặt   Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 02:01 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.