intTypePromotion=1

GIÁO TRÌNH CCNA - PHẦN 4

Chia sẻ: Nguyễn Nhi | Ngày: | Loại File: PDF | Số trang:28

0
241
lượt xem
139
download

GIÁO TRÌNH CCNA - PHẦN 4

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tài liệu tham khảo giáo trình CCNA bằng tiếng Việt dành cho học viên công nghệ - Phần 4 Access List và NAT gồm 5 bài giảng

Chủ đề:
Lưu

Nội dung Text: GIÁO TRÌNH CCNA - PHẦN 4

  1. CCNA Tài li u dành cho h c viên Ph n 4 : ACCESS LIST và NAT BÀI 21: STANDAR ACCESS LIST 1. Gi i thi u: -M t trong nh ng công c r t quan tr ng trong Cisco Router c dùng trong l nh v c security là Access List. ây là m t tính n ng giúp b n có th c u hình tr c ti p trên Router t o ra m t danh sách các a ch mà b n có th cho phép hay ng n c n vi c truy c p vào m t a ch nào ó. -Access List có 2 lo i là Standard Access List và Extended Access List. -Standard Access List: y là lo i danh sách truy c p mà khi cho phép hay ng n c n vi c truy c p,Router ch ki m tra m t y u t duy nh t là a ch ngu n(Source Address) -Extended Access List: ây là lo i danh sách truy c p m r ng h n so v i lo i Stanhdar,các y u t v a ch ngu n, a ch ích,giao th c,port..s c ki m tra tr c khi Router cho phép vi c truy nh p hay ng n c n. 2. Mô t bài lab và hình : -Bài Lab này giúp b n th c hi n vi c c u hình Standard Access List cho Cisco Router v i m c ích ng n không cho host truy c p n router VSIC2. 3. C u hình router : Router Vsic1 Vsic1#show run VSIC Education Corporation Trang 136
  2. CCNA Tài li u dành cho h c viên Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Vsic1 ! ip subnet-zero ! process-max-time 200 ! interface Ethernet0 ip address 11.0.0.1 255.255.255.0 no ip directed-broadcast ! interface Serial0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ! interface Serial1 no ip address no ip directed-broadcast shutdown ! ip classless no ip http server ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 ! end Router Vsic2 Vsic2#show run Building configuration... Current configuration: ! version 12.1 service timestamps debug uptime VSIC Education Corporation Trang 137
  3. CCNA Tài li u dành cho h c viên service timestamps log uptime no service password-encryption ! hostname Vsic2 ! ip subnet-zero ! interface Ethernet0 no ip address shutdown ! interface Serial0 ip address 192.168.1.2 255.255.255.0 clockrate 56000 ! interface Serial1 no ip address shutdown ! ip classless no ip http server ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 ! end Host: IP Address:11.0.0.2 Subnet mask:255.255.255.0 Gateway:11.0.0.1 nh tuy n cho các Router nh sau(Dùng giao th c RIP): -B n th c hi n vi c Vsic1(config)#router rip Vsic1(config-router)#net 192.168.1.0 Vsic1(config-router)#net 11.0.0.0 Vsic2(config)#router rip Vsic2(config-router)#net 192.168.1.0 Vsic2(config-router)#net 10.0.0.0 -B n th c hi n ki m tra quá trình nh tuy n: Vsic2#ping 192.168.1.1 VSIC Education Corporation Trang 138
  4. CCNA Tài li u dành cho h c viên Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms Vsic2#ping 11.0.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms Vsic2#ping 11.0.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 11.0.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/40 ms -Sau quá trình nh tuy n,ki m tra ch c ch n r ng m ng ã c thông,b n th c hi n vi c t o Access List Standar ng n không cho Router Vsic 2 ping vào Host. -Vì khi l u thông,gói tin mu n n c a ch c a Host b t bu t ph i i qua Router Vsic1. -B n th c hi n t o Access List trên Router Vsic 1 nh sau: Vsic1#conf t Enter configuration commands, one per line. End with CNTL/Z. Vsic1(config)#access-list 1 deny 11.0.0.2 0.0.0.0 //t ch i s truy nh p c a a ch 11.0.0.2// -Lúc này b n th c hi n l nh Ping t Host n VSIC2 VSIC Education Corporation Trang 139
  5. CCNA Tài li u dành cho h c viên -B n th y l nh Ping th c hi n v n thành công, lý do là b n ch a m ch Access list trên interface ethernet0 c a router Vsic1 Vsic1(config)#int e0 Vsic1(config-if)#ip access-group 1 in //ng n c n ng vào c a serial 0 theo access group 1// -Sau khi apply access list vào interface ethernet 0, ta ping t PC1 n VSIC2. Bây gi ta i a ch c a PC thành 11.0.0.3, và th ping l i 1 l n n a. VSIC Education Corporation Trang 140
  6. CCNA Tài li u dành cho h c viên -B n th y l nh Ping v n không thành c ng, lý do là khi không tìm th y a ch source ( a ch l ) trong danh sách Access list, router s m c nh th c hi n Deny any,vì v y b n ph i thay i m c nh này. Sau ây là l nh debug ip packet t i VSIC1 khi th c hi n l nh ping trên. Vsic1(config)#access-list 1 permit any -Lúc này b n th c hi n l i l nh Ping t PC1 n VSIC2 VSIC Education Corporation Trang 141
  7. CCNA Tài li u dành cho h c viên -B n th y l nh Ping ã thành công, n ây b n ã c u hình xong Standard Access List. 4. T c u hình b ng Dynagen: Click file lab21acls.net và c u hình theo s sau: Thay vì apply ACL t i interface Fa0/0 theo chi u in, ta có th hi n i v i interface s1/0 theo chi u out. Ta c u hình t ng t và test theo h ng d n c a bài trên. VSIC Education Corporation Trang 142
  8. CCNA Tài li u dành cho h c viên BÀI 22: EXTENDED ACCESS LIST 1. Gi i thi u : - bài tr c b n ã th c hi n vi c c u hình Standard Access List, bài Lab này b n s ti p t c tìm hi u sâu h n v Extended Access List. ây là m r ng c a Standard Access List, trong quá trình ki m tra, Router s ki m tra các y u t v a ch ngu n, ích,giao th c và port… 2. Mô t bài lab và hình : -M c ích c a bài Lab:B n th c hi n c u hình Extended Access List sao cho Host1 không th Telnet vào Router Vsic 2 nh ng v n có th duy t web qua Router Vsic2 B n th c hi n hình nh sau: B n th c hi n vi c c u hình cho Router và Host nh hình trên: 3. C u hình router : Host1: IP Address:11.0.0.2 Subnet mask:255.255.255.0 Gateway:11.0.0.1 VSIC Education Corporation Trang 143
  9. CCNA Tài li u dành cho h c viên Host2: IP Address:10.0.0.2 Subnet mask:255.255.255.0 Gateway:10.0.0.1 Router Vsic1: vsic1#show run Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname vsic1 ! ip subnet-zero ! process-max-time 200 ! interface Ethernet0 ip address 11.0.0.1 255.255.255.0 no ip directed-broadcast ! interface Serial0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ! interface Serial1 no ip address no ip directed-broadcast shutdown ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 ! end Router Vsic2 VSIC Education Corporation Trang 144
  10. CCNA Tài li u dành cho h c viên Building configuration... Current configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname vsic2 ! enable secret 5 $1$V7En$XlyfRt14RWv2KPO9goxVt. //m t kh u secret l à Router// ! ip subnet-zero ! interface Ethernet0 ip address 10.0.0.1 255.255.255.0 ! interface Serial0 ip address 192.168.1.2 255.255.255.0 no fair-queue clockrate 56000 ! interface Serial1 no ip address shutdown ! ip classless no ip http server ! line con 0 transport input none line 1 8 line aux 0 line vty 0 4 password cisco login ! end -B n th c hi n vi c nh tuy n(s d ng Rip) vsic1(config)#router rip vsic1(config-router)#net 11.0.0.0 vsic1(config-router)#net 192.168.1.0 VSIC Education Corporation Trang 145
  11. CCNA Tài li u dành cho h c viên vsic2(config)#router rip vsic2(config-router)#net 10.0.0.0 vsic2(config-router)#net 192.168.1.0 -B n th c hi n l nh Ping ki m tra quá trình nh tuy n.Sau khi ch c ch n r ng quá trình nh tuy n ã thành công. -T i Router Vsic2 b n th c hi n câu l nh: vsic2(config)#ip http server //Câu l nh này dùng gi m t http server trên Router// -Lúc này Router s óng vai trò nh m t Web Server -Sau khi quá trình nh tuy n ã thành công,b n th c hi n các b c Telnet và duy t Web t Host 1 vào Router Vsic2. -Chú ý : thành công vi c Telnet b n ph i Login cho ng line vty và t m t kh u cho ng này( ây là Cisco) Telnet: Duy t web VSIC Education Corporation Trang 146
  12. CCNA Tài li u dành cho h c viên VSIC Education Corporation Trang 147
  13. CCNA Tài li u dành cho h c viên B n nh p vào User Name và Password User name:Vsic2 Password:Router -Các b c trên ã thành công,b n th c hi n vi c c u hình Access list vsic2#conf t Enter configuration commands, one per line. End with CNTL/Z. vsic2(config)#access-list 101 deny tcp 11.0.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet vsic2(config)#int s0 vsic2(config-if)#ip access-group 101 in -B n th c hi n l i vi c Telnet nh trên,b n nh n th y quá trình Telnet không thành công nh ng b c duy t Web c a b n c ng không thành công. -Theo yêu c u b n ch ng n c m Telnet nh ng cho phép quá trình duy t Web Telnet VSIC Education Corporation Trang 148
  14. CCNA Tài li u dành cho h c viên Duy t Web - thành công b c duy t Web,b n th c hi n câu l nh thay i vi c Deny any m c nh c a Access List. vsic2(config)#access-list 101 permit ip any any -B n chú ý r ng các câu l nh trong Access List extended không gi ng nh trong Access List Standard vì trong Access List Extended,Router s ki m tra c a ch ngu n, ích,giao th c và port..Permit ip any any có ngh a là cho phép t t c các a ch ngu n và ích khác(không tìm th y trong danh sách Access List) ch y trên n n giao th c IP i qua. Lúc này b n th c hi n l i quá trình duy t web VSIC Education Corporation Trang 149
  15. CCNA Tài li u dành cho h c viên B n nh p vào User Name và Password User name:Vsic2 Password:Router - n ây b n ã thành công vi c c u hình cho Extended Access List,b n ã th c hi n c yêu c u t o Access List cho Router v i m c ích ng n c m vi c Telnet vào Router và cho phép quá trình duy t Web vào Router.B n c ng có th m r ng thêm hình v i nhi u Router th c t p vi c c u hình Access List cho Router v i nh ng yêu c u b o m t khác nhau. 4. T Th c hành b ng Dynagen: S d ng file lab22acle.net th c hành. S và cách c u hình t ng t nh trên. VSIC Education Corporation Trang 150
  16. CCNA Tài li u dành cho h c viên BÀI 23: T N CÔNG ROUTER B NG FLOOD 1. Mô t bài lab và c u hình : hình bài lab trên hình trên, chúng ta s b t http server trên router Vsic2 và Deny Service này b ng DoS trên S0 c a router Vsic2 a ch là 192.168.1.2, ta c u hình access-list 101 áp vào interface S0, n i dung c a access-list 101 này là c m t t c các gói i vào interface này (s d ng Defense). 2. C u hình c a Router : C u hình c a các router : Vsic1#show run Building configuration... Current configuration : 559 bytes version 12.1 hostname Vsic1 interface Ethernet0 ip address 10.1.0.1 255.255.255.0 interface Serial0 ip address 192.168.1.1 255.255.255.0 no fair-queue clockrate 64000 router rip network 10.0.0.0 network 192.168.1.0 end Vsic2#show run Building configuration... Current configuration : 616 bytes version 12.1 hostname Vsic2 interface Loopback0 VSIC Education Corporation Trang 151
  17. CCNA Tài li u dành cho h c viên ip address 11.1.0.1 255.255.255.0 interface Serial0 ip address 192.168.1.2 255.255.255.0 router rip network 11.0.0.0 network 192.168.1.0 ip http server access-list 101 deny tcp any 10.1.0.0 0.0.0.255 access-list 101 permit ip any any end Chúng ta b t http server trên router Vsic2 b ng cách : Vsic2(config)#ip http server 3. Th c thi DoS : Sau khi c u hình xong, ta ch y th Web Service trên router 2501 b ng vào Internet explorer browser, và nh p vào khung Address : http://192.168.3.1/ và ch c ch n Service này ang ch y. Bây gi , chúng ta vào command prompt kh i ng ch ng trình bonk (http://www.packetstorm.net/) Ch ng trình này s g i packet liên t c n a ch mà chúng ta nh p vào (Interface S0 c a Vsic2). Lúc này t o router Vsic2 chúng ta ã c u hình access-list là deny t t c các gói n a ch 192.168.1.2 (interface S0 c a Vsic2). Chúng ta có th xem quá trình u tiên là khi m i b t u g i gói t ph n m m file ch y bonk, nh ng gói t ph n m m này g i b deny : (s d ng câu l nh debug ip packet detail hi n th thông tin v các gói trên Vsic2) 01:35:27: IP: s=192.168.1.2 (local), d=58.78.126.160, len 56, unroutable 01:35:28: IP: s=234.163.97.104 (Serial0), d=192.168.1.2, len 56, access denied 01:35:28: IP: s=90.18.161.21 (Serial0), d=192.168.1.2, len 56, access denied 01:35:28: IP: s=192.168.1.2 (local), d=90.18.161.21, len 56, unroutable 01:35:29: IP: s=212.188.230.189 (Serial0), d=192.168.1.2, len 56, access denied VSIC Education Corporation Trang 152
  18. CCNA Tài li u dành cho h c viên 01:35:29: IP: s=95.72.43.45 (Serial0), d=192.168.1.2, len 56, access denied 01:35:29: IP: s=192.168.1.2 (local), d=95.72.43.45, len 56, unroutable 01:35:30: IP: s=137.183.32.171 (Serial0), d=192.168.1.2, len 56, access denied 01:35:30: IP: s=34.183.126.195 (Serial0), d=192.168.1.2, len 56, access denied Tuy nhiên trong quá trình deny router Vsic2 ph i a gói vào d li u c a mình phân tích. Trong khi file ch y bonk g i gói m t cách liên t c, nên ch a y 2 phút sau thì interface serial 0 c a Vsic2 b down và service http c a nó vì v y c ng s b down luôn. Chúng ta không th duy t web lúc này. 01:35:31: IP: s=192.168.1.2 (local), d=190.191.154.23, len 56, unroutable 01:35:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down 01:35:32: IP: s=68.190.155.4 (Serial0), d=192.168.1.2, len 56, access denied 01:35:32: IP: s=192.168.1.2 (local), d=68.190.155.4, len 56, unroutable. Sau khi down m t th i gian, router s t ng up interface S0 lên l i. N u không còn gh n n a thì s ho t ng bình th ng. 01:35:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up VSIC Education Corporation Trang 153
  19. CCNA Tài li u dành cho h c viên BÀI 24: C U HÌNH NAT STATIC 1. Gi i thi u : Nat (Network Address Translation) là m t giao th c dùng cung c p s chuy n i IP trong 1 mi n a ra m t môi tr ng khác thông qua m t IP ã c ng ký chuy n i thông tin gi a 2 môi tr ng (either Local or Global) . u i m c a NAT( Network Nat Translation ) là chuy n i các IP adress riêng trong m ng n IP adress inside c Cung c p khi ã ng ký . Các lo i a ch : Inside Local : là các a ch bên trong m ng n i b ( gateway) Inside Global :là các a ch ngoài c ng GATEWAY , ó là a ch Nat ã c ng ký. Trong bài nay là :172.17.0.1/24 Outside Global : là các h th ng m ng bên ngoài các môi tr ng Cách th c chuy n i m t IP public và m t IP private s không có hi u qu khi chúng ta tri n khai r ng cho t t c các host trong m ng, b i vì khi làm nh v y ta s không có a ch cung c p. Nat t nh th ng c áp d ng khi ta s d ng a ch public làm WebServer hay FTP Server,v.v. 2. Mô t bài lab và hình : Các PC n i v i router b ng cáp chéo, hai router n i v i nhau b ng cáp serial. a ch IP c a các interface và PC c cho trên hình v Trong bài lab này, router Vsic2 c c u hình nh m t ISP, router Vsic1 c c u hình nh m t gateway 3. C u hình : Chúng ta c u hình cho các router nh sau : Router#conf t Vsic2(config)#enable password cisco Route r(config)#hostname Vsic2 Vsic2(config)#interface serial 0 Vsic2(config-if)#ip address 192.168.0.1 255.255.255.0 Vsic2(config-if)# no shut Vsic2(config-if)#clock rate 64000 Vsic2(config)#interface ethernet 0 Vsic2(config-if)#ip address 10.1.0.1 255.255.0.0 Vsic2(config-if)#no shut Vsic1(config)#interface serial 0 Vsic1(config-if)#ip address 192.168.0.2 255.255.255.0 VSIC Education Corporation Trang 154
  20. CCNA Tài li u dành cho h c viên Vsic1(config)#ip nat outside c u hình interface S0 là interface outside Vsic1(config)#interface ethernet 0 Vsic1(config-if)#ip address 11.1.0.1 255.255.0.0 Vsic1(config-if)#no shut Vsic1(config-if)#ip nat intside C u hình interface E0 là interface inside Chúng ta ti n hành c u hình Static NAT cho Vsic1 b ng câu l nh : Vsic1(config)#ip nat inside source static 10.1.0.2 172.17.0.1 Câu l nh trên có ý ngh a là : các gói tin xu t phát t PC2 khi qua router( vào t interface E0) Vsic1 ra ngoài( ra kh i interface S0) s c i a ch IP source t 11.1.0.2 thành a ch 172.17.0.1 ( ây là a ch ã c ng ký v i ISP) Chúng ta ti n hành t Static Route cho 2 Router Vsic2 và Vsic1. Vsic1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1 Vsic2(config)#ip route 172.17.0.0 255.255.0.0 192.168.0.2 a ch 172.17.0.1 là Address ã c ng ký. Trên th c t ISP ch route xu ng user b ng a ch ã ng ký này. ki m tra vi c NAT c a router Vsic1 nh th nào chúng ta s d ng câu l nh sau: Vsic1#sh ip nat translation Pro Inside global Inside local Outside local Outside global --- 172.17.0.1 11.1.0.2 --- --- ki m tra router Vsic1 chuy n i a ch nh th nào chúng ta s d ng câu l nh debug ip nat trên router Vsic1 và và ping t PC1 n PC2( hay interface loopback gi l p). VSIC Education Corporation Trang 155
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2