X
تبلیغات
رایتل

لابراتوار access list 2

bahram یکشنبه 29 دی‌ماه سال 1392 @ 11:13 ب.ظ چاپ

سلام  

توی پست امروز میخوام  در مورد لابراتوار  اکسس لیست  که  در امتحان  CCNA  هم  خیلی مورد توجه قرار میگیره  صحبت کنم و قدم به قدم پیش  برم توپولوژی   زیر  رو در نظر  بگیرید


  

Host A 192.168.33.1
Host B 192.168.33.2
Host C 192.168.33.3
Host D 192.168.33.4
 Finance Web Server IP address : 172.22.242.23.
 Public Web Server IP address :172.22.242.17


he user on host C should be able to use a web browser to access financial information from the Finance Web Server. No other hosts from the LAN nor the Core should be able to use a web browser to access this server. Since there are multiple resources for the corporation at this location including other resources on the Finance Web Server, all other traffic should be allowed.


هدف از اجرای این لابراتوار هاست C  به سرور  مالی  از طریق  پروتکل  وب دسترسی  داشته باشه و هیچ یک از  کلاینت های  دیگه   به سرور  مالی  دسترسی  نداشته باشه از طریق  پروتکل 80  ,    بقیه  ترافیک ها  روی  سرور  مالی  باید  برای  همه  در  دسترس  باشه :


بقیه در  ادامه مطلب  

 

 
 خوب  واسه اینکه  هاست   C  به  سرور  مالی  دسترسی  داشته باشه  یه extend  اکسس  لیست نیاز  داریم  که  اجازه دسترسی  به  سرور  مالی  رو بده به قرار زیر  : 


Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80


خوب  ما چون  احتیاج داریم که بقیه هاست ها  به سرور مالی  دسترسی  نداشته باشه اکسس لیست  رو  به قرار زیر  باید بنویسیم که  سورس  اون  هر  ip  میتونه باشه  مقصد   هم ip   سرور مالی 


Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80


در  اخر هم   چون  خواسته شده که   بقیه  ترافیک ها   اجازه دسترسی  دارن پس  اکسس  لیست  رو به قرار زیر  مینویسیم 

Corp1(config)#access-list 100 permit ip any any


Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out


 خوب  حالا  اگه از ما خواسته بشه  که فقط هاست  B  به   سرور  مالی  دسترسی  داشته باشه   اکسس  لیست  رو به قرار زیر  مینویسیم 

access-list 100 permit ip host 192.168.33.2 host 172.22.242.23

هاست B  به بقیه سرور ها دسترسی  نداشته باشه 


access-list 100 deny ip host 192.168.33.2 172.22.242.16 0.0.0.15


در اخر  هم  چون در حالت پیش فرض  همه ترافیک ها  deny  میشه لذا  نیاز  دازیم  که  عبارت زیر   رو در انتهای  اکسس  بنویسیم 


permit ip any any



 بخش 3:

1. فقط هاست C  به سرور   مالی  دسترسی  داشته باشد .

2.بقیه هاست ها  به سرور  مالی  دسترسی  نداشته باشند 


خوب  برای  قسمت  اول  اکسس   لیست  رو به قرار  زیر   مینویسیم :


access-list 100 permit ip host 192.168.33.3 host 172.22.242.23


برای  قسمت  دوم   بصورت زیر  عمل  میکنیم


access-list 100 deny ip any host 172.22.242.23


در اخر  هم  احتیاج هست که جمله permit any  نوشته بشه 


permit ip any any



بخش 4 :


1. فقط  هاست   C   از طریق  وب  به سرور  مالی  دسترسی  داشته باشد.

2.بقیه  ترافیک ها به سمت سرور مالی  از  همه  هاست ها  بلاک شود 

3. بقیه   هاست ها  باید به سرور  پابلیک دسترسی  داشته باشند.



access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80



access-list 100 deny ip any host 172.22.242.23


access-list 100 permit ip any " ip  public server " 







لابراتوار Access list

bahram چهارشنبه 25 دی‌ماه سال 1392 @ 11:12 ب.ظ چاپ

 سلام دوستان  




لینک عکس  برای نمایش بزرگتر    http://s5.picofile.com/file/8109119850/ACL.jpg

شکل زیر  رو در نظر  بگیرین یه نتورک ساده است کامپیوتر با ip  192.168.20.2   میخواد  فقط  به   وب سرور  دسترسی   داشته باشه و فقط  به سرویس  وب    براین کار    ما احتیاج به یه extended access list  داریم  و این اکسس لیست  باید نزدیک مبدا باشه  و همچنین  روی  اینترفیس  ورودی  روتر  هم  اعمال بشه Fa0/1


برای انی کار  در مرحله اول  اکسس  لیست رو بصورت زیر  منویسیم


access-list 101 permit tcp host 192.168.20.2 host 192.168.1.2 eq 80

access-list 101 deny ip any any


همون طور که در بالا اومده  در خط اول ابتدا باید مشخص کنیم که سورس  ما چیه و همچنین  مقصد و چون میخواهیم به سرویس  وب  دسترسی  داشته باشیم  لذا  از  کامند permit  استفاده کردم  در اخر  هم گفتم که  فقط  به پورت 80   دسترسی  داشته  به جای 80 میتونیم بنویسیم  www  که معادل پورت 80 هست 

در انتهای هر access list  یه جمله  deny  بصورت پیش فرض هست ولی بهتره که نوشته بشه 

در اخر  هم  لازمه که  روی  انترفیس  ورودی  روتر  یعنی Fa0/1   اعمال بشه 



ip access-group 101 in