Bài tập 1: Chặn host truy cập LAN 2 bằng Standard ACL
Yêu cầu:
• Chặn host 192.168.1.10 trong LAN 1 truy cập LAN 2.
• Cho phép các host khác trong LAN 1 truy cập LAN 2.
• Áp dụng ACL trên interface GigabitEthernet0/0, hướng outbound.
• Sử dụng Standard ACL (số từ 1-99).
Thiết bị cần:
• 1 Router
• 2 Switches
• 3 PCs:
o PC1: 192.168.1.10 (LAN 1 – bị chặn)
o PC2: 192.168.1.20 (LAN 1 – được phép)
o PC3: 192.168.2.10 (LAN 2)
Bài tập 2: Cho phép ICMP, chặn dịch vụ khác từ LAN 2 đến LAN 1 bằng Named Extended ACL
Yêu cầu:
• Tạo ACL tên RESTRICT_LAN2.
• Cho phép LAN 2 (192.168.2.0/24) ping (ICMP) đến LAN 1.
• Chặn các dịch vụ khác từ LAN 2 đến LAN 1.
• Cho phép mọi lưu lượng còn lại.
• Áp dụng ACL trên interface GigabitEthernet0/1, hướng outbound.
Thiết bị cần:
• 1 Router
• 2 Switches
• 4 PCs:
o PC1, PC2: 192.168.2.x (LAN 2 – nguồn)
o PC3, PC4: 192.168.1.x (LAN 1 – đích)
Bài tập 3: Chặn toàn bộ dải LAN 3 truy cập LAN 4 bằng Standard ACL
Yêu cầu:
• Chặn toàn bộ mạng 192.168.3.0/24 (LAN 3) truy cập LAN 4.
• Cho phép các IP khác truy cập LAN 4.
• Áp dụng ACL trên interface GigabitEthernet0/2, hướng inbound.
• Dùng Standard ACL.
Thiết bị cần:
• 1 Router
• 2 Switches
• 4 PCs:
o PC1, PC2: 192.168.3.x (LAN 3 – bị chặn)
o PC3, PC4: 192.168.4.x (LAN 4 – đích)
Bài tập 4: Chặn host bằng Named Standard ACL
Yêu cầu:
• Tạo ACL tên BLOCK_HOST_A.
• Chặn host 10.0.0.5 truy cập vào mạng đích.
• Cho phép các thiết bị khác truy cập bình thường.
• Áp dụng ACL trên interface GigabitEthernet0/3, hướng inbound.
• Sử dụng Named Standard ACL.
Thiết bị cần:
• 1 Router
• 1 Switch
• 3 PCs:
o PC1: 10.0.0.5 (host bị chặn)
o PC2: 10.0.0.10 (host được phép)
o PC3: máy ở mạng khác để kiểm tra kết nối
Bài tập 5: Chặn HTTP từ LAN 6 đến LAN 7 bằng Extended ACL
Yêu cầu:
• Tạo ACL số 101.
• Chặn toàn bộ HTTP (port 80) từ LAN 6 (192.168.6.0/24) đến LAN 7 (192.168.7.0/24).
• Cho phép các dịch vụ khác hoạt động bình thường.
• Áp dụng trên interface GigabitEthernet0/4, hướng outbound.
Thiết bị cần:
• 1 Router
• 2 Switches
• 4 PCs:
o PC1, PC2: 192.168.6.x (LAN 6 – nguồn)
o PC3, PC4: 192.168.7.x (LAN 7 – đích)
Bài tập 6: Chặn FTP từ một host cụ thể bằng Named Extended ACL
Yêu cầu:
• Tạo ACL tên BLOCK_FTP.
• Chặn host 10.1.1.10 truy cập FTP (port 21) đến server 10.1.2.20.
• Cho phép mọi lưu lượng khác.
• Áp dụng trên interface GigabitEthernet0/5, hướng inbound.
Thiết bị cần:
• 1 Router
• 1 Switch
• 3 PCs:
o PC1: 10.1.1.10 (host bị chặn)
o PC2: 10.1.2.20 (FTP server)
o PC3: client khác để kiểm tra truy cập
Bài tập 7: Chặn Telnet, cho phép SSH bằng Extended ACL
Yêu cầu:
• Tạo ACL số 110.
• Chặn Telnet (port 23) từ mọi nguồn đến server 172.16.1.100.
• Cho phép SSH (port 22) và các dịch vụ khác hoạt động.
• Áp dụng trên interface GigabitEthernet0/6, hướng inbound.
Thiết bị cần:
• 1 Router
• 1 Switch
• 3 PCs:
o PC1: 172.16.1.100 (server)
o PC2, PC3: các PC từ mạng khác (để kiểm tra SSH/Telnet)
TỔNG HỢP CỔNG & DỊCH VỤ THƯỜNG DÙNG TRONG ACL
Dịch vụ / Giao thức Protocol Port (TCP/UDP) Mục đích
HTTP TCP 80 Truy cập web không mã hóa
HTTPS TCP 443 Truy cập web bảo mật
FTP (control) TCP 21 Điều khiển FTP
FTP (data) TCP 20 Truyền dữ liệu FTP
SSH TCP 22 Truy cập thiết bị bảo mật
Telnet TCP 23 Truy cập thiết bị không mã hóa
SMTP TCP 25 Gửi email
POP3 TCP 110 Nhận email
IMAP TCP 143 Nhận email nâng cao
DNS UDP 53 Phân giải tên miền
DHCP (server) UDP 67 Cấp phát IP từ server
DHCP (client) UDP 68 Client nhận IP
TFTP UDP 69 Truyền file đơn giản
SNMP UDP 161 Quản lý thiết bị mạng
SNMP Trap UDP 162 Cảnh báo từ thiết bị
RDP TCP 3389 Điều khiển máy nh từ xa
ICMP ICMP Không có số cổng Ping, Traceroute, v.v.
LDAP TCP/UDP 389 Dịch vụ thư mục
Bài tập 1: Chặn host truy cập LAN 2 bằng Standard ACL
Bài tập 2: Cho phép ICMP, chặn dịch vụ khác từ LAN 2 đến LAN 1 bằng Named
Extended ACL
Bài tập 3: Chặn toàn bộ dải LAN 3 truy cập LAN 4 bằng Standard ACL
Bài tập 4: Chặn host bằng Named Standard ACL
Bài tập 5: Chặn HTTP từ LAN 6 đến LAN 7 bằng Extended ACL
Bài tập 6: Chặn FTP từ một host cụ thể bằng Named Extended ACL
Bài tập 7: Chặn Telnet, cho phép SSH bằng Extended ACL