LAB Tổng Hợp 2: Cấu hình DHCP - Cấu hình NAT - Cấu Hình ACL (Access Control List)

Cho mô hình LAB như sau:

Yêu cầu:

1. Cấu hình DHCP cấp IP động cho NET1, NET2 . Cấu hình DC (Domain Controler) và Web Server sau cho các máy tính trong mạng nội bộ thông nhau và truy cập được Web nội bộ.

2. Cấu hình NAT sau cho NET1, NET2 ra ngoài internet với IP 100.0.0.2. Web Server Nat ra ngoài với địa chỉ 100.0.0.3

3. Cấu hình ACL sau cho: 

 - NET1 không truy cập Facebook.

 - NET2 không truy cập ra internet.

Tiến hành:

 - Đầu tiên ta cho các máy tính NET1, NET2 nhận IP động

 - Đặt IP tĩnh cho DC và Web server, cấu hình DC và Web Server:

Trên DC, đặt IP và trỏ DNS về chính nó, thêm 3 record của mạng nội bộ, facebook, google để các máy tính nội bộ biết đi đến trang web nào với địa chỉ tương ứng, và nhớ để DNS Service là ON nhé:

 Cấu hình trên Web Server, bật HTTP On, làm tương tự như trên Google và Facebook nhé !

Cấu hình DHCP:

ip dhcp pool NET1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.3.2

ip dhcp pool NET2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 192.168.3.2

Cấu hình NAT:

Cấu hình tuyến default route trên R1:

ip route 0.0.0.0 0.0.0.0 f1/1

Cấu hình ACL cho NAT:
ip access-list standard NET1
permit 192.168.1.0 0.0.0.255

ip access-list standard NET2
permit 192.168.2.0 0.0.0.255

Cấu hình NAT:

ip nat inside source list NET1 interface f1/1 overload
ip nat inside source list NET2 interface f1/1 overload
ip nat inside source static 192.168.3.3 100.0.0.3

Áp dụng trên cổng:
interface f1/1
ip nat outside

interface f0/0
ip nat inside
interface f0/1
ip nat inside
interface f1/0
ip nat inside

Cấu hình ACL:

Không cho NET1 truy cập Facebook:

ip access-list extended deny_facebook
deny tcp 192.168.1.0 0.0.0.255 host 200.0.0.2 eq 80
permit ip any any

Với câu lệnh này mạng NET1 bị chặn truy cập tcp đến địa chỉ facebook qua port 80 (truy cập Web), lệnh permit ip any any để mạng NET1 có thể truy cập đến các địa chỉ và giao thức khác, ở trong LAB này là Google và mạng nội bộ. Tuy bị chặn truy cập Web đến Facebook nhưng mạng NET1 vẫn có thể ping được Facebook (ping là giao thức ICMP)

Áp dụng cho cổng:

interface f0/0
ip access-group deny_facebook in

NET2 không truy cập ra ngoài internet:

Khi sử dụng ACL với lệnh deny sẽ khá khó vì thực tế không chỉ có Google và Facebook như LAB mà có rất nhiều địa chỉ mạng bên  ngoài internet khác. Bạn cũng có thể sử dụng lệnh deny với tất cả IP public (nằm ngoài những dãy IP pivate của các lớp A, B, C) tuy nhiên sẽ làm cho bảng ACL lớn, router phải duyệt nhiều dòng ACL => giảm tốc độ xử lý.

Vậy ở yêu cầu này ta chuyển thành NET2 chỉ truy cập mạng nội bộ = NET không truy cập internet

Lệnh ACL:

ip access-list extended only_local
permit ip any 192.168.0.0 0.0.255.255

Với câu lệnh permit này sẽ match tất cả các IP có dạng 192.168.X.X (Các mạng nội bộ). Nếu trong nội bộ có mạng khác 192.168 thì có thể thêm vô tương ứng.

Áp dụng cho cổng:

interface f0/1
ip access-group only_local in

OK, vậy là xong bài LAB, qua bài này mình muốn chia sẻ với các bạn cách đặt ACL sau cho phù hợp và uyển chuyển. Với những yêu cầu ACL phức tạp hơn bạn cần suy nghĩ để đặt ra những dòng ACL tốt nhất, không bị mâu thuẫn giữa các ACL với nhau. Dần luyện tập các bạn sẽ quen, cách mình làm là do tự nghĩ, nếu bạn có cách hay hơn thì xin chia sẻ, mình và các bạn cùng học tập nhé !

File LAB Packet Tracert 6.2: lab2.zip