Lab 3.3: (7) Cấu hình ACL chỉ cho phép Ping một chiều

Mục tiêu thực hành:

- Cấu hình tên hostname trên Cisco Router.

- Cấu hình địa chỉ IP trên các cổng giao tiếp của Cisco Router.

- Kích hoạt chức năng DHCP Client trên interface e0/1 của Cisco Router.

- Cấu hình NAT Overload trên Cisco Router.

- Cấu hình Vlan tương ứng theo sơ đồ mạng trên Cisco Switch.

- Cấu hình InterVLAN trên Cisco Router.

- Cấu hình ACL trên R1 chỉ cho phép Server ping tới Staff Subnet, các thiết bị bên trong Staff Subnet không thể ping được tới Server.

- Cấu hình ACL trên R1 chỉ cho phép Guest LAN truy cập Internet, không được phép trao đổi dữ liệu với bất kỳ thiết bị nào bên trong hạ tầng mạng nội bộ.

Truy cập vào "Lab 3-3 - Cau hinh ICMP Unidirectional ACL v1" tại Public Unetlab Server 24/7 để thực hành.

Cấu hình ACL chỉ cho phép Server ping tới Staff Subnet, các thiết bị bên trong Staff Subnet không thể ping được tới Server.

- Cấu hình ACL trên R1.

ip access-list extended UnidirectionalIcmpStaff

  deny icmp 172.16.10.0 0.0.0.255 host 172.16.1.1 echo

  permit icmp 172.16.10.0 0.0.0.255 host 172.16.1.1 echo-reply

  permit ip 172.16.10.0 0.0.0.255 host 172.16.1.1

  permit ip 172.16.10.0 0.0.0.255 any

  exit

interface e0/0.10

  ip access-group UnidirectionalIcmpStaff in

  exit

- Thực hiện quá trình ping từ PC1 tới Server.

PC1> ip 172.16.10.1/24 172.16.10.254

Checking for duplicate address...

PC1 : 172.16.10.1 255.255.255.0 gateway 172.16.10.254

PC1> 

PC1> ping 172.16.1.1

*172.16.10.254 icmp_seq=1 ttl=255 time=0.259 ms (ICMP type:3, code:13, Communication administratively prohibited)

*172.16.10.254 icmp_seq=2 ttl=255 time=0.335 ms (ICMP type:3, code:13, Communication administratively prohibited)

*172.16.10.254 icmp_seq=3 ttl=255 time=0.300 ms (ICMP type:3, code:13, Communication administratively prohibited)

*172.16.10.254 icmp_seq=4 ttl=255 time=0.300 ms (ICMP type:3, code:13, Communication administratively prohibited)

*172.16.10.254 icmp_seq=5 ttl=255 time=0.388 ms (ICMP type:3, code:13, Communication administratively prohibited)

PC1> 

- Thực hiện quá trình ping từ Server tới PC1.

Server> ip 172.16.1.1/24 172.16.1.254

Checking for duplicate address...

PC1 : 172.16.1.1 255.255.255.0 gateway 172.16.1.254

Server> 

Server> ping 172.16.10.1

84 bytes from 172.16.10.1 icmp_seq=1 ttl=63 time=1.423 ms

84 bytes from 172.16.10.1 icmp_seq=2 ttl=63 time=0.488 ms

84 bytes from 172.16.10.1 icmp_seq=3 ttl=63 time=0.429 ms

84 bytes from 172.16.10.1 icmp_seq=4 ttl=63 time=0.409 ms

84 bytes from 172.16.10.1 icmp_seq=5 ttl=63 time=0.432 ms

Server>

Cấu hình ACL trên R1 chỉ cho phép Guest LAN truy cập Internet, không được phép trao đổi dữ liệu với bất kỳ thiết bị nào bên trong hạ tầng mạng nội bộ.

ip access-list extended GuestLimit

  deny ip 172.16.20.0 0.0.0.255 10.0.0.0 0.255.255.255

  deny ip 172.16.20.0 0.0.0.255 172.16.0.0 0.31.255.255

  deny ip 172.16.20.0 0.0.0.255 192.168.0.0 0.0.255.255

  permit ip 172.16.20.0 0.0.0.255 any

  exit

interface e0/0.20

  ip access-group GuestLimit in

  exit

Tham khảo các videos lý thuyết Hướng dẫn thực hành CCNA R&S để biết thêm thông tin chi tiết.