intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

GIÁO TRÌNH CCNA - PHẦN 4

Chia sẻ: Nguyễn Nhi | Ngày: | Loại File: PDF | Số trang:28

Thêm vào BST
Báo xấu
258
lượt xem 141
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tài liệu tham khảo giáo trình CCNA bằng tiếng Việt dành cho học viên công nghệ - Phần 4 Access List và NAT gồm 5 bài giảng

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: GIÁO TRÌNH CCNA - PHẦN 4

  1. CCNA Tài li u dành cho h c viên Ph n 4 : ACCESS LIST và NAT BÀI 21: STANDAR ACCESS LIST 1. Gi i thi u: -M t trong nh ng công c r t quan tr ng trong Cisco Router c dùng trong l nh v c security là Access List. ây là m t tính n ng giúp b n có th c u hình tr c ti p trên Router t o ra m t danh sách các a ch mà b n có th cho phép hay ng n c n vi c truy c p vào m t a ch nào ó. -Access List có 2 lo i là Standard Access List và Extended Access List. -Standard Access List: y là lo i danh sách truy c p mà khi cho phép hay ng n c n vi c truy c p,Router ch ki m tra m t y u t duy nh t là a ch ngu n(Source Address) -Extended Access List: ây là lo i danh sách truy c p m r ng h n so v i lo i Stanhdar,các y u t v a ch ngu n, a ch ích,giao th c,port..s c ki m tra tr c khi Router cho phép vi c truy nh p hay ng n c n. 2. Mô t bài lab và hình : -Bài Lab này giúp b n th c hi n vi c c u hình Standard Access List cho Cisco Router v i m c ích ng n không cho host truy c p n router VSIC2. 3. C u hình router : Router Vsic1 Vsic1#show run VSIC Education Corporation Trang 136
  2. CCNA Tài li u dành cho h c viên Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Vsic1 ! ip subnet-zero ! process-max-time 200 ! interface Ethernet0 ip address 11.0.0.1 255.255.255.0 no ip directed-broadcast ! interface Serial0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ! interface Serial1 no ip address no ip directed-broadcast shutdown ! ip classless no ip http server ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 ! end Router Vsic2 Vsic2#show run Building configuration... Current configuration: ! version 12.1 service timestamps debug uptime VSIC Education Corporation Trang 137
  3. CCNA Tài li u dành cho h c viên service timestamps log uptime no service password-encryption ! hostname Vsic2 ! ip subnet-zero ! interface Ethernet0 no ip address shutdown ! interface Serial0 ip address 192.168.1.2 255.255.255.0 clockrate 56000 ! interface Serial1 no ip address shutdown ! ip classless no ip http server ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 ! end Host: IP Address:11.0.0.2 Subnet mask:255.255.255.0 Gateway:11.0.0.1 nh tuy n cho các Router nh sau(Dùng giao th c RIP): -B n th c hi n vi c Vsic1(config)#router rip Vsic1(config-router)#net 192.168.1.0 Vsic1(config-router)#net 11.0.0.0 Vsic2(config)#router rip Vsic2(config-router)#net 192.168.1.0 Vsic2(config-router)#net 10.0.0.0 -B n th c hi n ki m tra quá trình nh tuy n: Vsic2#ping 192.168.1.1 VSIC Education Corporation Trang 138
  4. CCNA Tài li u dành cho h c viên Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms Vsic2#ping 11.0.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms Vsic2#ping 11.0.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 11.0.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/40 ms -Sau quá trình nh tuy n,ki m tra ch c ch n r ng m ng ã c thông,b n th c hi n vi c t o Access List Standar ng n không cho Router Vsic 2 ping vào Host. -Vì khi l u thông,gói tin mu n n c a ch c a Host b t bu t ph i i qua Router Vsic1. -B n th c hi n t o Access List trên Router Vsic 1 nh sau: Vsic1#conf t Enter configuration commands, one per line. End with CNTL/Z. Vsic1(config)#access-list 1 deny 11.0.0.2 0.0.0.0 //t ch i s truy nh p c a a ch 11.0.0.2// -Lúc này b n th c hi n l nh Ping t Host n VSIC2 VSIC Education Corporation Trang 139
  5. CCNA Tài li u dành cho h c viên -B n th y l nh Ping th c hi n v n thành công, lý do là b n ch a m ch Access list trên interface ethernet0 c a router Vsic1 Vsic1(config)#int e0 Vsic1(config-if)#ip access-group 1 in //ng n c n ng vào c a serial 0 theo access group 1// -Sau khi apply access list vào interface ethernet 0, ta ping t PC1 n VSIC2. Bây gi ta i a ch c a PC thành 11.0.0.3, và th ping l i 1 l n n a. VSIC Education Corporation Trang 140
  6. CCNA Tài li u dành cho h c viên -B n th y l nh Ping v n không thành c ng, lý do là khi không tìm th y a ch source ( a ch l ) trong danh sách Access list, router s m c nh th c hi n Deny any,vì v y b n ph i thay i m c nh này. Sau ây là l nh debug ip packet t i VSIC1 khi th c hi n l nh ping trên. Vsic1(config)#access-list 1 permit any -Lúc này b n th c hi n l i l nh Ping t PC1 n VSIC2 VSIC Education Corporation Trang 141
  7. CCNA Tài li u dành cho h c viên -B n th y l nh Ping ã thành công, n ây b n ã c u hình xong Standard Access List. 4. T c u hình b ng Dynagen: Click file lab21acls.net và c u hình theo s sau: Thay vì apply ACL t i interface Fa0/0 theo chi u in, ta có th hi n i v i interface s1/0 theo chi u out. Ta c u hình t ng t và test theo h ng d n c a bài trên. VSIC Education Corporation Trang 142
  8. CCNA Tài li u dành cho h c viên BÀI 22: EXTENDED ACCESS LIST 1. Gi i thi u : - bài tr c b n ã th c hi n vi c c u hình Standard Access List, bài Lab này b n s ti p t c tìm hi u sâu h n v Extended Access List. ây là m r ng c a Standard Access List, trong quá trình ki m tra, Router s ki m tra các y u t v a ch ngu n, ích,giao th c và port… 2. Mô t bài lab và hình : -M c ích c a bài Lab:B n th c hi n c u hình Extended Access List sao cho Host1 không th Telnet vào Router Vsic 2 nh ng v n có th duy t web qua Router Vsic2 B n th c hi n hình nh sau: B n th c hi n vi c c u hình cho Router và Host nh hình trên: 3. C u hình router : Host1: IP Address:11.0.0.2 Subnet mask:255.255.255.0 Gateway:11.0.0.1 VSIC Education Corporation Trang 143
  9. CCNA Tài li u dành cho h c viên Host2: IP Address:10.0.0.2 Subnet mask:255.255.255.0 Gateway:10.0.0.1 Router Vsic1: vsic1#show run Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname vsic1 ! ip subnet-zero ! process-max-time 200 ! interface Ethernet0 ip address 11.0.0.1 255.255.255.0 no ip directed-broadcast ! interface Serial0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ! interface Serial1 no ip address no ip directed-broadcast shutdown ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 ! end Router Vsic2 VSIC Education Corporation Trang 144
  10. CCNA Tài li u dành cho h c viên Building configuration... Current configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname vsic2 ! enable secret 5 $1$V7En$XlyfRt14RWv2KPO9goxVt. //m t kh u secret l à Router// ! ip subnet-zero ! interface Ethernet0 ip address 10.0.0.1 255.255.255.0 ! interface Serial0 ip address 192.168.1.2 255.255.255.0 no fair-queue clockrate 56000 ! interface Serial1 no ip address shutdown ! ip classless no ip http server ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 password cisco login ! end -B n th c hi n vi c nh tuy n(s d ng Rip) vsic1(config)#router rip vsic1(config-router)#net 11.0.0.0 vsic1(config-router)#net 192.168.1.0 VSIC Education Corporation Trang 145
  11. CCNA Tài li u dành cho h c viên vsic2(config)#router rip vsic2(config-router)#net 10.0.0.0 vsic2(config-router)#net 192.168.1.0 -B n th c hi n l nh Ping ki m tra quá trình nh tuy n.Sau khi ch c ch n r ng quá trình nh tuy n ã thành công. -T i Router Vsic2 b n th c hi n câu l nh: vsic2(config)#ip http server //Câu l nh này dùng gi m t http server trên Router// -Lúc này Router s óng vai trò nh m t Web Server -Sau khi quá trình nh tuy n ã thành công,b n th c hi n các b c Telnet và duy t Web t Host 1 vào Router Vsic2. -Chú ý : thành công vi c Telnet b n ph i Login cho ng line vty và t m t kh u cho ng này( ây là Cisco) Telnet: Duy t web VSIC Education Corporation Trang 146
  12. CCNA Tài li u dành cho h c viên VSIC Education Corporation Trang 147
  13. CCNA Tài li u dành cho h c viên B n nh p vào User Name và Password User name:Vsic2 Password:Router -Các b c trên ã thành công,b n th c hi n vi c c u hình Access list vsic2#conf t Enter configuration commands, one per line. End with CNTL/Z. vsic2(config)#access-list 101 deny tcp 11.0.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet vsic2(config)#int s0 vsic2(config-if)#ip access-group 101 in -B n th c hi n l i vi c Telnet nh trên,b n nh n th y quá trình Telnet không thành công nh ng b c duy t Web c a b n c ng không thành công. -Theo yêu c u b n ch ng n c m Telnet nh ng cho phép quá trình duy t Web Telnet VSIC Education Corporation Trang 148
  14. CCNA Tài li u dành cho h c viên Duy t Web - thành công b c duy t Web,b n th c hi n câu l nh thay i vi c Deny any m c nh c a Access List. vsic2(config)#access-list 101 permit ip any any -B n chú ý r ng các câu l nh trong Access List extended không gi ng nh trong Access List Standard vì trong Access List Extended,Router s ki m tra c a ch ngu n, ích,giao th c và port..Permit ip any any có ngh a là cho phép t t c các a ch ngu n và ích khác(không tìm th y trong danh sách Access List) ch y trên n n giao th c IP i qua. Lúc này b n th c hi n l i quá trình duy t web VSIC Education Corporation Trang 149
  15. CCNA Tài li u dành cho h c viên B n nh p vào User Name và Password User name:Vsic2 Password:Router - n ây b n ã thành công vi c c u hình cho Extended Access List,b n ã th c hi n c yêu c u t o Access List cho Router v i m c ích ng n c m vi c Telnet vào Router và cho phép quá trình duy t Web vào Router.B n c ng có th m r ng thêm hình v i nhi u Router th c t p vi c c u hình Access List cho Router v i nh ng yêu c u b o m t khác nhau. 4. T Th c hành b ng Dynagen: S d ng file lab22acle.net th c hành. S và cách c u hình t ng t nh trên. VSIC Education Corporation Trang 150
  16. CCNA Tài li u dành cho h c viên BÀI 23: T N CÔNG ROUTER B NG FLOOD 1. Mô t bài lab và c u hình : hình bài lab trên hình trên, chúng ta s b t http server trên router Vsic2 và Deny Service này b ng DoS trên S0 c a router Vsic2 a ch là 192.168.1.2, ta c u hình access-list 101 áp vào interface S0, n i dung c a access-list 101 này là c m t t c các gói i vào interface này (s d ng Defense). 2. C u hình c a Router : C u hình c a các router : Vsic1#show run Building configuration... Current configuration : 559 bytes version 12.1 hostname Vsic1 interface Ethernet0 ip address 10.1.0.1 255.255.255.0 interface Serial0 ip address 192.168.1.1 255.255.255.0 no fair-queue clockrate 64000 router rip network 10.0.0.0 network 192.168.1.0 end Vsic2#show run Building configuration... Current configuration : 616 bytes version 12.1 hostname Vsic2 interface Loopback0 VSIC Education Corporation Trang 151
  17. CCNA Tài li u dành cho h c viên ip address 11.1.0.1 255.255.255.0 interface Serial0 ip address 192.168.1.2 255.255.255.0 router rip network 11.0.0.0 network 192.168.1.0 ip http server access-list 101 deny tcp any 10.1.0.0 0.0.0.255 access-list 101 permit ip any any end Chúng ta b t http server trên router Vsic2 b ng cách : Vsic2(config)#ip http server 3. Th c thi DoS : Sau khi c u hình xong, ta ch y th Web Service trên router 2501 b ng vào Internet explorer browser, và nh p vào khung Address : http://192.168.3.1/ và ch c ch n Service này ang ch y. Bây gi , chúng ta vào command prompt kh i ng ch ng trình bonk (http://www.packetstorm.net/) Ch ng trình này s g i packet liên t c n a ch mà chúng ta nh p vào (Interface S0 c a Vsic2). Lúc này t o router Vsic2 chúng ta ã c u hình access-list là deny t t c các gói n a ch 192.168.1.2 (interface S0 c a Vsic2). Chúng ta có th xem quá trình u tiên là khi m i b t u g i gói t ph n m m file ch y bonk, nh ng gói t ph n m m này g i b deny : (s d ng câu l nh debug ip packet detail hi n th thông tin v các gói trên Vsic2) 01:35:27: IP: s=192.168.1.2 (local), d=58.78.126.160, len 56, unroutable 01:35:28: IP: s=234.163.97.104 (Serial0), d=192.168.1.2, len 56, access denied 01:35:28: IP: s=90.18.161.21 (Serial0), d=192.168.1.2, len 56, access denied 01:35:28: IP: s=192.168.1.2 (local), d=90.18.161.21, len 56, unroutable 01:35:29: IP: s=212.188.230.189 (Serial0), d=192.168.1.2, len 56, access denied VSIC Education Corporation Trang 152
  18. CCNA Tài li u dành cho h c viên 01:35:29: IP: s=95.72.43.45 (Serial0), d=192.168.1.2, len 56, access denied 01:35:29: IP: s=192.168.1.2 (local), d=95.72.43.45, len 56, unroutable 01:35:30: IP: s=137.183.32.171 (Serial0), d=192.168.1.2, len 56, access denied 01:35:30: IP: s=34.183.126.195 (Serial0), d=192.168.1.2, len 56, access denied Tuy nhiên trong quá trình deny router Vsic2 ph i a gói vào d li u c a mình phân tích. Trong khi file ch y bonk g i gói m t cách liên t c, nên ch a y 2 phút sau thì interface serial 0 c a Vsic2 b down và service http c a nó vì v y c ng s b down luôn. Chúng ta không th duy t web lúc này. 01:35:31: IP: s=192.168.1.2 (local), d=190.191.154.23, len 56, unroutable 01:35:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down 01:35:32: IP: s=68.190.155.4 (Serial0), d=192.168.1.2, len 56, access denied 01:35:32: IP: s=192.168.1.2 (local), d=68.190.155.4, len 56, unroutable. Sau khi down m t th i gian, router s t ng up interface S0 lên l i. N u không còn gh n n a thì s ho t ng bình th ng. 01:35:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up VSIC Education Corporation Trang 153
  19. CCNA Tài li u dành cho h c viên BÀI 24: C U HÌNH NAT STATIC 1. Gi i thi u : Nat (Network Address Translation) là m t giao th c dùng cung c p s chuy n i IP trong 1 mi n a ra m t môi tr ng khác thông qua m t IP ã c ng ký chuy n i thông tin gi a 2 môi tr ng (either Local or Global) . u i m c a NAT( Network Nat Translation ) là chuy n i các IP adress riêng trong m ng n IP adress inside c Cung c p khi ã ng ký . Các lo i a ch : Inside Local : là các a ch bên trong m ng n i b ( gateway) Inside Global :là các a ch ngoài c ng GATEWAY , ó là a ch Nat ã c ng ký. Trong bài nay là :172.17.0.1/24 Outside Global : là các h th ng m ng bên ngoài các môi tr ng Cách th c chuy n i m t IP public và m t IP private s không có hi u qu khi chúng ta tri n khai r ng cho t t c các host trong m ng, b i vì khi làm nh v y ta s không có a ch cung c p. Nat t nh th ng c áp d ng khi ta s d ng a ch public làm WebServer hay FTP Server,v.v. 2. Mô t bài lab và hình : Các PC n i v i router b ng cáp chéo, hai router n i v i nhau b ng cáp serial. a ch IP c a các interface và PC c cho trên hình v Trong bài lab này, router Vsic2 c c u hình nh m t ISP, router Vsic1 c c u hình nh m t gateway 3. C u hình : Chúng ta c u hình cho các router nh sau : Router#conf t Vsic2(config)#enable password cisco Route r(config)#hostname Vsic2 Vsic2(config)#interface serial 0 Vsic2(config-if)#ip address 192.168.0.1 255.255.255.0 Vsic2(config-if)# no shut Vsic2(config-if)#clock rate 64000 Vsic2(config)#interface ethernet 0 Vsic2(config-if)#ip address 10.1.0.1 255.255.0.0 Vsic2(config-if)#no shut Vsic1(config)#interface serial 0 Vsic1(config-if)#ip address 192.168.0.2 255.255.255.0 VSIC Education Corporation Trang 154
  20. CCNA Tài li u dành cho h c viên Vsic1(config)#ip nat outside c u hình interface S0 là interface outside Vsic1(config)#interface ethernet 0 Vsic1(config-if)#ip address 11.1.0.1 255.255.0.0 Vsic1(config-if)#no shut Vsic1(config-if)#ip nat intside C u hình interface E0 là interface inside Chúng ta ti n hành c u hình Static NAT cho Vsic1 b ng câu l nh : Vsic1(config)#ip nat inside source static 10.1.0.2 172.17.0.1 Câu l nh trên có ý ngh a là : các gói tin xu t phát t PC2 khi qua router( vào t interface E0) Vsic1 ra ngoài( ra kh i interface S0) s c i a ch IP source t 11.1.0.2 thành a ch 172.17.0.1 ( ây là a ch ã c ng ký v i ISP) Chúng ta ti n hành t Static Route cho 2 Router Vsic2 và Vsic1. Vsic1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1 Vsic2(config)#ip route 172.17.0.0 255.255.0.0 192.168.0.2 a ch 172.17.0.1 là Address ã c ng ký. Trên th c t ISP ch route xu ng user b ng a ch ã ng ký này. ki m tra vi c NAT c a router Vsic1 nh th nào chúng ta s d ng câu l nh sau: Vsic1#sh ip nat translation Pro Inside global Inside local Outside local Outside global --- 172.17.0.1 11.1.0.2 --- --- ki m tra router Vsic1 chuy n i a ch nh th nào chúng ta s d ng câu l nh debug ip nat trên router Vsic1 và và ping t PC1 n PC2( hay interface loopback gi l p). VSIC Education Corporation Trang 155
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2