Mục tiêu thực hành:
- Cấu hình ACL trên Switch Layer 3.
- Kiểm tra cấu hình ACL trên Switch Layer 3.
Truy cập vào "Lab 3-3 - Cau hinh ACL tren Switch Layer 3 v1" tại Public Unetlab Server 24/7 để thực hành.
Cấu hình ACL trên Switch Layer 3.
- Cấu hình ACL sao cho lớp mạng Guest chỉ có thể truy cập Internet, không thể trao đổi dữ liệu với bất kì thiết bị nào bên trong hệ thống mạng nội bộ.
Switch(config)#ip access-list extended GuestLimitSwitch(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 172.16.1.0 0.0.0.255Switch(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.255Switch(config-ext-nacl)#permit ip 172.16.20.0 0.0.0.255 anySwitch(config-ext-nacl)#exitSwitch(config)#
Switch(config)#interface vlan 20Switch(config-if)#ip access-group GuestLimit inSwitch(config-if)#endSwitch#
Kiểm tra cấu hình ACL trên Switch Layer 3.
- Từ VPC2 thuộc mạng Guest không thể gửi lưu lượng tới AppServer.
VPCS> ping 172.16.1.1172.16.1.1 icmp_seq=1 timeout172.16.1.1 icmp_seq=2 timeout172.16.1.1 icmp_seq=3 timeout172.16.1.1 icmp_seq=4 timeout172.16.1.1 icmp_seq=5 timeoutVPCS>
VPCS> ping 8.8.4.484 bytes from 8.8.4.4 icmp_seq=1 ttl=115 time=36.584 ms84 bytes from 8.8.4.4 icmp_seq=2 ttl=115 time=31.909 ms84 bytes from 8.8.4.4 icmp_seq=3 ttl=115 time=36.069 ms84 bytes from 8.8.4.4 icmp_seq=4 ttl=115 time=32.966 ms84 bytes from 8.8.4.4 icmp_seq=5 ttl=115 time=30.345 msVPCS>
- Kiểm tra ACL GuestLimit trên Cisco Router.
Switch#show ip access-listsExtended IP access list GuestLimit10 deny ip 172.16.20.0 0.0.0.255 172.16.1.0 0.0.0.255 (5 matches)20 deny ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.25530 permit ip 172.16.20.0 0.0.0.255 anyExtended IP access list preauth_ipv4_acl (per-user)10 permit udp any any eq domain20 permit tcp any any eq domain30 permit udp any eq bootps any40 permit udp any any eq bootpc50 permit udp any eq bootpc any60 deny ip any anySwitch#
Tham khảo các videos lý thuyết Hướng dẫn thực hành CCNA R&S để biết thêm thông tin chi tiết.
0 comments