Lab 3.3: (3) Cấu hình ACL cho phép lưu lượng xin cấp phát địa chỉ IP

Mục tiêu thực hành:

- Cấu hình tên hostname trên Cisco Router.

- Cấu hình địa chỉ IP trên các cổng giao tiếp của Cisco Router.

- Kích hoạt chức năng DHCP Client trên interface e0/1 của Cisco Router.

- Cấu hình NAT Overload trên Cisco Router.

- Cấu hình Vlan tương ứng theo sơ đồ mạng trên Cisco Switch.

- Cấu hình InterVLAN trên Cisco Router.

- Cấu hình ACL cho phép lưu lượng xin cấp phát địa chỉ IP trên Cisco Router.

- Khảo sát ACL cho phép lưu lượng xin cấp phát địa chỉ IP trên Cisco Router.

Truy cập vào "Lab 3-3 - Cau hinh ACL cho phep luu luong xin cap phat dia chi IP v1" tại Public Unetlab Server 24/7 để thực hành.

Cấu hình ACL cho phép lưu lượng xin cấp phát địa chỉ IP trên Cisco Router.

- Cấu hình ACL sao cho lớp mạng Guest chỉ có thể truy cập Internet, không thể trao đổi dữ liệu với bất kì thiết bị nào bên trong hệ thống mạng nội bộ và vẫn có thể xin được IP từ DHCP Server (R1).

R1(config)#ip dhcp excluded-address 172.16.20.254

R1(config)#ip dhcp pool LAN2

R1(dhcp-config)#network 172.16.20.0 255.255.255.0

R1(dhcp-config)#default-router 172.16.20.254

R1(dhcp-config)#dns-server 8.8.4.4

R1(dhcp-config)#exit

R1(config)#

R1(config)#ip access-list extended GuestLimit

R1(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 172.16.1.0 0.0.0.255

R1(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.255

R1(config-ext-nacl)#permit udp any any eq 67

R1(config-ext-nacl)#permit ip 172.16.20.0 0.0.0.255 any

R1(config-ext-nacl)#exit

R1(config)#

R1(config)#interface e0/0.20

R1(config-subif)#ip access-group GuestLimit in

R1(config-subif)#end

R1#

Khảo sát ACL cho phép lưu lượng xin cấp phát địa chỉ IP trên Cisco Router.

- Trên VPC2 thực hiện quá trình xin cấp phát địa chỉ IP từ DHCP Server (R1).

VPCS> dhcp

DDORA IP 172.16.20.1/24 GW 172.16.20.254

VPCS>

- Các bản tin xin cấp phát địa chỉ IP từ VPC2 gửi đi match với ACL Entry 30.

R1#show ip access-lists

Extended IP access list GuestLimit

    10 deny ip 172.16.20.0 0.0.0.255 172.16.1.0 0.0.0.255

    20 deny ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.255

    30 permit udp any any eq bootps (3 matches)

    40 permit ip 172.16.20.0 0.0.0.255 any

Extended IP access list NatTraffic01

    10 permit ip 172.16.1.0 0.0.0.255 any

    20 permit ip 172.16.10.0 0.0.0.255 any

    30 permit ip 172.16.20.0 0.0.0.255 any

Extended IP access list NatTraffic02

    10 permit ip 172.16.1.0 0.0.0.255 any

    20 permit ip 172.16.10.0 0.0.0.255 any

    30 permit ip 172.16.20.0 0.0.0.255 any

R1#

-  Nếu xóa dòng ACL Entry 30 tương ứng với ACL GuestLimit thì VPC2 sẽ không còn xin được IP nữa từ DHCP Server (R1).

R1#configure terminal 

R1(config)#ip access-list extended GuestLimit

R1(config-ext-nacl)#no 30

R1(config-ext-nacl)#50 deny ip any any

R1(config-ext-nacl)#end

R1#

VPCS> dhcp

DDD

Can't find dhcp server

VPCS> 

R1#show ip access-lists GuestLimit

Extended IP access list GuestLimit

    10 deny ip 172.16.20.0 0.0.0.255 172.16.1.0 0.0.0.255

    20 deny ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.255

    40 permit ip 172.16.20.0 0.0.0.255 any

    50 deny ip any any (3 matches)

R1#

Tham khảo các videos lý thuyết Hướng dẫn thực hành CCNA R&S để biết thêm thông tin chi tiết.