Thiết bị mạng và truyền thông - Chương 7
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.25 MB, 40 trang )
1
CHƯƠNG 7
Access Control List
2
Danh sách kiểm tra truy cập (ACL)
Giới thiệu
3
Danh sách kiểm tra truy cập (ACL)
Giới thiệu
ACL là một danh sách các điều kiện được
áp dụng cho lưu lượng đi qua một cổng
của router. Danh sách này cho biết loại
gói nào được chấp nhận hay bị từ chối.
ACL được sử dụng để quản lý lưu lượng
mạng và bảo vệ truy cập ra hoặc vào hệ
thống mạng.
ACL kiểm tra các gói dựa vào địa chỉ
nguồn và đích, giao thức, số port, hướng
di chuyển của gói để quyết định chuyển
gói đi hay hủy bỏ gói.
4
Danh sách kiểm tra truy cập (ACL)
Giới thiệu
5
Danh sách kiểm tra truy cập (ACL)
Giới thiệu
6
Danh sách kiểm tra truy cập (ACL)
Công dụng của ACL
Giới hạn lưu lượng mạng để tăng hiệu
suất hoạt động của mạng.
Ví dụ cấm lưu lượng truyền Video.
Kiểm tra dòng lưu lượng, quyết định cho
phép hoặc cấm loại lưu lượng nào được
đi qua.
Ví dụ lưu lượng email, telnet.
Bảo vệ truy cập.
Chỉ cho phép user truy cập vào một loại tập
tin nào đó, vào vùng mạng nào đó trong hệ
thống.
7
Danh sách kiểm tra truy cập (ACL)
Hoạt động của ACL
8
Danh sách kiểm tra truy cập (ACL)
Phân loại
ACL cơ bản (1-99): thực hiện kiểm tra địa chỉ IP nguồn của gói
dữ liệu.
ACL mở rộng (100-199): kiểm tra địa chỉ nguồn và đích của gói
dữ liệu, kiểm tra giao thức lẫn số port.
ACL đặt tên (Name): từ phiên bản Cisco IOS 11.2 trở đi, cho
phép tạo ACL cơ bản và mở rộng theo tên thay vì theo số.
9
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản
Cú pháp lệnh:
Router(config)#access-list
access-list-number
{deny | permit}
source [
source-wildcard
]
………………
Router(config-if)#{protocol} access-group
access-list-number
{in | out}
Hủy một ACL:
Router(config)#no access-list
access-list-number
10
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản
11
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản
12
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản
13
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản
14
Danh sách kiểm tra truy cập (ACL)
Một số nguyên tắc cơ bản khi tạo ACL
Một ACL cho một giao thức trên một
chiều của một cổng.
ACL cơ bản nên đặt ở vị trí gần mạng
đích nhất.
ACL mở rộng nên đặt ở vị trí gần mạng
nguồn nhất.
Các câu lệnh trong một ACL sẽ được kiểm
tra tuần tự từ trên xuống cho đến khi có
một câu lệnh được thoả, nếu không thì
gói dữ liệu đó cũng sẽ bị từ chối.
15
Danh sách kiểm tra truy cập (ACL)
Một số nguyên tắc cơ bản khi tạo ACL
Có một câu lệnh từ chối tuyệt đối nằm ẩn ở cuối
cùng trong ACL.
Các câu lệnh trong ACL nên xếp từ chi tiết đến
tổng quát.
Trong một câu lệnh ACL, điều kiện được kiểm
tra trước rồi mới kiểm tra tới việc cho phép hay
từ chối.
Nên sử dụng công cụ soạn thảo văn bản để
soạn trước các câu lệnh ACL.
Dòng lệnh mới luôn được thêm vào cuối danh
sách ACL.
Lệnh no access-list x sẽ xóa tòan bộ ACL x.
16
Danh sách kiểm tra truy cập (ACL)
Wildcard mask
17
Danh sách kiểm tra truy cập (ACL)
Wildcard mask
MASK (192.168.1.1) Matching IP
0.0.0.0 (host) 192.168.1.1
0.0.0.255 192.168.1.0-255
0.0.255.255 192.168.0-255.0-255
0.255.255.255 192.0-255.0-255.0-255
255.255.255.255 0-255.0-255.0-255.0-255 (any)
18
Danh sách kiểm tra truy cập (ACL)
Wildcard mask
19
Danh sách kiểm tra truy cập (ACL)
Từ khóa Any và Host
Access-list 1 permit 200.0.0.9 0.0.0.0
hay
permit host 200.0.0.9
Access-list 1 permit 0.0.0.0 255.255.255.255
hay
permit any
20
Danh sách kiểm tra truy cập (ACL)
Từ khóa Any và Host
21
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng
22
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng
23
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng
24
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng
25
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng
