Access List Lab من تحضيرى

**المستعصم بالله** · 03-10-2008, 06:04

السلام عليكم ورحمة الله وبركاته

اليوم باذن الله هانعمل lab صغير على ال access list يعنى انا مش هاشرح انا هاعتمد انك سمعت شرح بشمهندس ياسر وقريت شرح استاذنا Lumark's يعنى ده عملى فقط

بسم الله توكلنا على الله

Access List Lab

Requirements :
Packet tracer
3 Router-PT
3 Switch
3 PC

deny pc 1 for full-access server 0 by using standard access-list
1- ping 10.1.5.2 from pc 1 to check connectivity with server 0

اول حاجة نعمل ping على server 0 على نشوف اذا كان التوصيل سليم ولا لاء واذا كان التوصيل سليم واستقبلنا الرد من server 0 يبقى ننتقل للخطوة القادمة

2- configure the Makka Router
Makka(config)#access-list 1 deny 10.1.1.2 0.0.0.0
Makka(config)#access-list 1 permit any
Makka(config)#interface f0/0
Makka(config-if)#ip access-group 1 out

لما بنيجى نستخدم standard access list بنستخدمها عند اقرب router واقرب interface لل destination ولازم نحدد الاتجاه اذا كانت ال packt المراد منعها خارجة من ال interface ولا داخلة عليه طبعا هنا الاتجاه هايبقى out ولازم نفتكر كويس الامر access-list 1 permit any علشان من غيره مفيش حد خالص هايقدر يدخل على server 0
3- now ping 10.1.5.2 from pc 1 to check connectivity with server 0
دلوقتى نعمل اختبار لل Access list ونشوف اذا كانت تفعل المراد منها ام لا جرب وشوف :D

4- remove the access list from f0/0 by using no ip access-group 1 out Command at the interface to jump for the next step

طيب دلوقتى خلصنا اول تجربة وعايزين نعمل تانى تجربة على نفس الجهازين باستخدام extended access list يبقى لازم نمسح الاولى علشان نعمل التجربة التانية وده هايتم بالامر no ip access-group 1 out على fa 0/0

deny pc 1 for full-access server 0 by using extended access-list
1- ping 10.1.5.2 from pc 1 to check connectivity with server 0

2- configure the Cairo Router
Cairo(config)#access-list 101 deny ip host 10.1.1.2 host 10.1.5.2

Cairo(config)#access-list 101 permit ip any any
Cairo(config)#int f0/0
Cairo(config-if)#ip access-group 101 in

لما بنيجى نستخدم extended access list بنعملها عند اقرب router واقرب interface للــ source
وفى ميزة هنا لازم نعرفها وهى ان النوع ده بيوفر فى استهلاك ال processor علشان بدل ما ال packet تفضل تعدى على كل processor وبعد كده توصل لاقرب router للــ destination ويرفضها بدوره
لا هنا بنقطع عليها الطريق من اوله علشان مش تستهلك كل processor وهى اصلا ممنوعة من العنوان ده

3- now ping 10.1.5.2 from pc 1 to check connectivity with server 0
4- remove the access list from f0/0 by using no ip access-group 101 in Command at the interface to jump for the next step

deny any host in network 10.1.1.0 for full-access server 0 by using standard access-list
1- ping 10.1.5.2 from pc 1& pc 2 to check connectivity with server 0

2- configure the Cairo Router
Makka(config)#access-list 2 deny 10.1.1.0 0.0.0.255
Makka(config)#access-list 2 permit any
Makka(config)#interface f0/0
Makka(config-if)#ip access-group 1 out
3- now ping 10.1.5.2 from pc 1&pc 2 to check connectivity with server 0
4- remove the access list from f0/0 by using no ip access-group 2 out Command at the interface to jump for the next step

deny any host in network 10.1.1.0 for full-access server 0 by using extended access-list
1- ping 10.1.5.2 from pc 1& pc 2 to check connectivity with server 0

2- configure the Cairo Router
Cairo(config)#access-list 102 deny ip 10.1.1.0 0.0.0.255 10.1.5.2 0.0.0.0
Cairo(config)#int f0/0
Cairo(config-if)#ip access-group 102 in

3- now ping 10.1.5.2 from pc 1&pc 2 to check connectivity with server 0

4- remove the access list from f0/0 by using no ip access-group 2 out Command at the interface to jump for the next step

Remove access list from Global Configuration mode

Cairo(config)# no access-list ( number of access list )

VTY Lines
PC 1 only can access Cairo Router from Telnet or other program using VTY lines

Cairo(config)# access-list 2 permit 10.1.1.2 0.0.0.0
Cairo(config)#line vty 0 ?
<1-15> Last Line number

الخطوة دى علشان اعرف كام session يقدر ال router يفتحها مش اكتب 0 4 علطول من غير ما اعرف هو يقدر يفتح لغاية كام session

Cairo(config)#line vty 0 15
Cairo(config-line)# access-class 2 in

Modify the ACL
Need to be careful when modifying the ACL especially deleting an entry from the ACL can remove the complete ACL. Adding a new entry to the list can be done very much the same way as earlier

لازم نخلى بالنا من النقطة دى كويس لان لو حاولت تحذف امر من ال access list على سبيل المثال
Makka(config)# no access-list 2 deny 10.1.1.0 0.0.0.255
كده كل ال access list هاتتمسح اما الاضافة فنقدر نضيف فى اى وقت بكتابة access list ورقمها وبجوارها الامر المراد اضافته فى ال configuration mode
وعلشان نقدر نمسح اوامر هانتبع الخطوات التالية

Steps :

1- go to the privilege mode and write show access-lists number of access list command you will see the tasks of the access list
2- copy the tasks of the access list to notepad file
3- delete any command you want
4- before each command write access-list number of access list
5- go to the configuration mode and write no access-lists number of access
6- copy the commands from the notepad file and paste them at the configuration mode
7- enjoy

اظن الخطوات واضحة ومش محتاجة ترجمة :D

وده رابط للدرس بصيغة ورد علشان لو حصل اى مشكلة تانى فى الصور
https://www.4shared.com/file/6557550...ified=73501f9d

ارجوا ان تكونوا استفدتم من ال lab ولا تنسونى بالدعاء