THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng

LAB 06
VLAN, ACCESS CONTROL LIST (ACL)
Mục tiêu: Sinh viên hiểu và có thể sử dụng ACL để quản lý truy cập (vào, ra) trên
router, switch với các hành động cho phép (allow) hoặc cấm (deny) các dịch vụ từ
các VLAN
ACL là một danh sách điều khiển truy nhập thường được sử dụng cho 2 mục đích
chính
• Traffic fitering: lọc lưu lượng theo chiều in hoặc out của port nào đó
• Data classification: Phân loại dữ liệu, để chỉ ra đối tượng nào được /không
được tham gia vào một hoạt động nào đó. Ví dụ như NAT, VPN...
Bài toán: Một công ty có 3 phòng chức năng là KINH DOANH, THIẾT BỊ và TÀI
CHÍNH. Do điều kiện cơ sở vật chất, công ty phải bố trí nhân viên thuộc 3 đơn vị
trên rải rác ở 5 phòng làm việc khác nhau (trong 1 phòng có thể có cả nhân viên
thuộc 3 đơn vị cùng làm việc) . Toàn bộ công ty chỉ có 1 đường kết nối internet ra
ngoài. Bạn hãy thiết kế sơ đồ mạng LAN của công ty này sao cho:
- Máy tính của các nhân viên thuộc cùng 1 đơn vị thì truy cập được đến nhau
(Nhưng không cho máy tính của đơn vị khác truy cập)
- Tất cả mọi máy tính của cty đều có khả năng truy cập internet theo đường
kết nối chung ra ngoài.
Bước 1: Khởi động Packet Tracer, lập sơ đồ mạng như hình dưới:

1


THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng

Lưu ý:
- Các PC của Phòng kinh doanh gắn vào các port f0/1-f0/8; PC của Thiết bị gắn
vào port f0/9-f0/16; PC của Phòng Tài chính gắn vào port f0/17-f0/24
- Các switch nối với nhau bằng port g0/1-g0/2
Bước 2: Thực hiện chia VLAN tại mỗi switch
>enable
#configure terminal
(config)#vlan 10
(config-vlan)#name PhongKinhdoanh
(config-vlan)#exit
(config)#interface range f0/1-f0/8
(config-if-range)#switchport access vlan 10
(config-if-range)#exit
(config)#vlan 20
(config-vlan)#name PhongThietbi
(config-vlan)#exit
(config)#interface range f0/9-f0/16
(config-if-range)#switchport access vlan 20
(config-if-range)#exit
(config)#vlan 30
(config-vlan)#name PhongTaichinh
(config-vlan)#exit
(config)#interface range f0/17-f0/24
(config-if-range)#switchport access vlan 30
(config-if-range)#exit

Kiểm tra cấu hình Vlan trên mỗi switch bằng lệnh:
#show vlan brief


Bước 3: Thực hiện cấu hình trunking trên các switch
>enable
#configure terminal
(config)#interface g0/1
(config-if)#switchport mode trunk
(config-if)#exit
(config)#interface g0/2
(config-if)#switchport mode trunk

Bước 4: Cấu hình dịch vụ DHCP tại Router0
2


THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng

>enable
#configure terminal
(config)#ip dhcp pool PhongKinhdoanh
(dhcp-config)#network 192.168.10.0 255.255.255.0
(dhcp-config)#default-router 192.168.10.1
(dhcp-config)#dns-server 8.8.8.8
(dhcp-config)#exit
(config)#ip dhcp pool PhongThiebi
(dhcp-config)#network 192.168.20.0 255.255.255.0
(dhcp-config)#default-router 192.168.20.1
(dhcp-config)#dns-server 8.8.8.8
(dhcp-config)#exit
(config)#ip dhcp pool PhongTaichinh

(dhcp-config)#network 192.168.30.0 255.255.255.0
(dhcp-config)#default-router 192.168.30.1
(dhcp-config)#dns-server 8.8.8.8
(dhcp-config)#exit

Bước 5: tại Router0 Đặt địa chỉ cho các sub-link (nối với Switch0) và thiết lập
ecapsulation 802.1q
>enable
#configure terminal
(config)#interface f0/0.10
(config-subif)#encapulation dot1Q 10
(config-subif)#ip address 192.168.10.1 255.255.255.0
(config-subif)#exit
#configure terminal
(config)#interface f0/0.20
(config-subif)#encapulation dot1Q 10
(config-subif)#ip address 192.168.20.1 255.255.255.0
(config-subif)#exit
#configure terminal
(config)#interface f0/0.30
(config-subif)#encapulation dot1Q 30
(config-subif)#ip address 192.168.30.1 255.255.255.0
(config-subif)#exit
(config)#interface f0/0
(config-if)#no shutdown

Kiểm tra lại thông tin địa chỉ cho các sub-link vừa gán ở trên bằng lệnh
Show ip interfaces brief

3



THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng

Bước 6: tại Router0 Đặt địa chỉ cho kết nối serial (nối với Router1) và cấu hình
định tuyến tĩnh tới Router1
>enable
#configure terminal
(config)#interface s0/0/0
(config-if)#ip address 1.1.1.1 255.255.255.252
(config-if)#no shutdown
(config-if)#exit
(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2

Bước 7: tại Router1 Đặt địa chỉ cho kết nối serial (nối với Router0) và cấu hình
định tuyến tĩnh tới Router0
>enable
#configure terminal
(config)#interface s0/0/0
(config-if)#ip address 1.1.1.2 255.255.255.252
(config-if)#no shutdown
(config-if)#exit
(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1

Bước 8: tại Router1 Đặt địa chỉ cho kết nối GigaEthernet (nối với HTTP Server)
>enable
#configure terminal
(config)#interface g0/0

(config-if)#ip address 8.8.8.1 255.0.0.0
(config-if)#no shutdown
(config-if)#exit

Bước 9: Tại HTTP Server
- Đặt địa chỉ ip cho máy
- Bật dịch vụ DNS và thêm vào ARecord cho tên miền company.com và
CName cho tên miền www.company.com như hình dưới

4


THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng

- Chỉnh sửa nội dung trang index.html của dịch vụ HTTP như dưới

Bước 10:
- Tại các PC, thiết lập chế độ lấy địa chỉ động (do Router0 cấp phát).
o Các máy thuộc Phòng Kinh doanh sẽ có địa 192.168.10.x
o Các máy thuộc Phòng Thiết bị sẽ có địa chỉ 192.168.20.x
o Các máy thuộc Phòng Tài chính sẽ có địa chỉ 192.168.20.x

- Ping kiểm tra từ các PC tới máy chủ HTTP Server (8.8.8.8) sẽ thấy các máy
liên lạc tốt với máy chủ

5



THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng

- Mở Web Browser từ PC bất kỳ và nhập vào địa chỉ www.company.com sẽ thấy
có nội dung trang index.html hiện ra như sau:

Tuy nhiên: Nếu thực hiện ping từ 2 PC có địa chỉ IP thuộc 2 phòng khác
nhau (192.168.20.6 tới 192.168.10.2) thì vẫn có reply bình thường → 2 PC thuộc 2
đơn vị khác nhau vẫn liên lạc được với nhau (Giải thích tại sao?)

Bước 11: Tại Router0 tiến hành định nghĩa các luật ACL đối với từng VLAN
- Định nghĩa luật lọc traffic áp dụng trên VLAN 10:
o cấm mọi ip traffic từ mạng 192.168.20.0/24 và mạng 192.168.30.0/24
o cho phép mọi ip traffic từ các mạng khác
#config terminal
#access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
#access-list 110 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
#access-list 110 permit ip any any
#end
#config terminal
#interface f0/0.10
#ip access-group 110 in

6


THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng


#end

- Định nghĩa luật lọc traffic áp dụng trên VLAN 20:
o cấm mọi ip traffic từ mạng 192.168.10.0/24 và mạng 192.168.30.0/24
o cho phép mọi ip traffic từ các mạng khác
#config terminal
#access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
#access-list 120 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
#access-list 120 permit ip any any
#end
#config terminal
#interface f0/0.20
#ip access-group 120 in
#end

- Định nghĩa luật lọc traffic áp dụng trên VLAN 30:
o cấm mọi ip traffic từ mạng 192.168.10.0/24 và mạng 192.168.20.0/24
o cho phép mọi ip traffic từ các mạng khác
#config terminal
#access-list 130 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
#access-list 130 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
#access-list 130 permit ip any any
#end
#config terminal
#interface f0/0.30
#ip access-group 130 in
#end

Tại Router0 ta có thể kiểm ta lại cấu hình ACL bằng lệnh

>enable
#show access-lists

7


THỰC HÀNH MẠNG MÁY TÍNH

ThS.Trần Quang Hải Bằng

Bước 12: Bây giờ kiểm tra lại thử xem giữa 2 PC thuộc 2 đơn vị khác nhau sẽ
không liên lạc được với nhau – Nhưng PC nào trong mạng cũng truy cập được
internet (vào địa chỉ www.company.com )

8