Tải bản đầy đủ (.pdf) (183 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

GIÁO TRÌNH CCNA - Chương 4: Công nghệ WAN và bảo mật ppt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.21 MB, 183 trang )

Chương 4: Công nghệ WAN và bảo mật
Page | 1


GIÁO TRÌNH CCNA



CHƯƠNG 4: CÔNG NGHỆ
WAN VÀ BẢO MẬT












Chương 4: Công nghệ WAN và bảo mật
Page | 2


CHỦ ĐỀ
PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List 11
I. Giới thiệu chung 11
II. Hoạt động của ACL 11
1. Tìm hiểu về ACL 12


2. Hoạt động của ACL 15
3. Phân loại ACL 19
4. Xác định ACL 19
5. ACL wildcard masking 21
III. Cấu hình ACL 24
1. Cấu hình numbered standard IPv4 ACL 25
2. Cấu hình numbered extended IPv4 ACL 26
3. Cấu hình named ACL 28
3.1 Khởi tạo named standard ACL 28
3.2 Khởi tạo named extended ACL 28
4. Thêm phần ghi chú cho Named hay Numbered ACLs 31
IV. Các lệnh kiểm tra trong ACL 32
V. Các loại khác của ACL 32
1. Dynamic ACL 33
2. Reflexive ACL 35
3. Time-based ACL 37
VI. Ghi chú khi sử dụng Wildcard Masks 38
VII. Giải quyết sự cố trong ACL 41
Chương 4: Công nghệ WAN và bảo mật
Page | 3


PART 2: Mở rộng quy mô mạng với NAT và PAT 45
I. Giới thiệu về NAT và PAT 45
1. Biên dịch địa chỉ nguồn bên trong 48
2. Cơ chế NAT tĩnh 51
3. Cơ chế NAT động 52
4. Overloading một địa chỉ toàn cục bên trong 53
II. Giải quyết vấn đề bảng dịch 56
III. Giải quyết sự cố với NAT 57


PART 3: Giải pháp VPN 62
I. Giới thiệu về giải pháp VPN 62
1. VPN và những lợi thế 62
2. Các loại VPN 64
3. IPsec SSL VPN (WebVPN) 69
II. Giới thiệu IPsec 70

PHẦN 4: Thiết lập kết nối WAN với PPP 77
I. Hiểu biết về đóng gói trong WAN 77
II. Xác thực PPP 80
1. Tổng quan về PPP 80
2. Vùng giao thức của PPP 80
3. Giao thức điều khiển liên kết 81
3.1 Phát hiện liên kết lặp 81
3.2 Tăng cường khả năng phát hiện sự cố 82
3.3 PPP Multilink 82
3.4 Xác thực PPP 83
Chương 4: Công nghệ WAN và bảo mật
Page | 4

III. Cấu hình và kiểm tra PPP 86
IV. Giải quyết sự cố trong xác thực PPP 89
1. Giải quyết các vấn đề ở lớp 2 89
2. Giải quyết các vấn đề ở lớp 3 92


PART 5: Giới thiệu về công nghệ Frame Relay 94
I. Cấu hình chung mạng Frame Relay 94
II. Tổng quan về Frame Relay 95

1. Các tiêu chuẩn của Frame Relay 98
2. Mạch ảo 98
3. LMI và các loại đóng gói 101
III. Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay 104
1. FECN và BECN 104
2. Các Loại bỏ điều kiện (DE bit) 105
IV. Cấu hình và kiểm tra Frame Relay 106
1. Kế hoạch cho một cấu hình Frame Relay 106
2. Một mạng với đầy đủ meshed với một IP Subnet 108
3. Cấu hình đóng gói và LMI 109
4. Map địa chỉ Frame Relay 113
4.1 Inverse ARP 113
4.2 Map tĩnh Frame Relay 113
V. Xử lý sự cố với mạng Frame Relay 114

PHẦN 6: Tổng quan về IPv6 127
I. Khái quát chung 127
Chương 4: Công nghệ WAN và bảo mật
Page | 5

II. Cách thức viết địa chỉ Ipv6 127
III. Phương thức gán địa chỉ Ipv6 130
IV. Cấu trúc địa chỉ IPv6 130
1. Địa chỉ Unicast 131
2. Địa chỉ Anycast 133
3. Địa chỉ Multicast 134
V. Gán địa chỉ IPv6 cho cổng giao diện 136
1. Cấu hình thủ công cổng giao diện 136
2. Gán địa chỉ bằng EUI-64 136
3. Cấu hình tự động 137

4. DHCPv6 (Stateful) 138
5. Dùng dạng EUI-64 trong địa chỉ IPv6 138
VI. Xem xét định tuyến với IPv6 139
VII. Chiến lược để thực hiện IPv6 139
VIII. Cấu hình IPv6 143

PHẦN 7: Các bài lab minh họa 146
1. Cấu hình Standard Access List 146
2. Cấu hình extended Access List 151
3. Cấu hình NAT tĩnh 156
4. Cấu hình NAT overload 159
5. Cấu hình PPP PAP và CHAP 163
6. Cấu hình FRAME RELAY 169
7. Cấu hình FRAME RELAY SUBINTERFACE 176



Chương 4: Công nghệ WAN và bảo mật
Page | 6

Phụ lục về các hình sử dụng trong tài liệu

PART 1: Quản lý luồng dữ liệu bằng ACL 11
Hình 1-1: Kiểm soát lưu lượng bằng Access Control List 13
Hình 1-2: Bộ lọc của Access Control List 13
Hình 1-3: ACL xác định luồng dữ liệu 15
Hình 1-4: Ví dụ của một outbound ACL 16
Hình 1-5: Sự đánh giá của ACL 18
Hình 1-6: Wildcard mask 22
Hình 1-7: Masking một dãy địa chỉ 23

Hình 1-8: Trường hợp đặc biệt của Wildcard Mask 24
Hình 1-9: Standard ACL 25
Hình 1-10: Extended ACL 26
Hình 1-11: Dynamic ACL 33
Hình 1-12: Reflexive ACL 36
Hình 1-13: Time-based ACL 37

PART 2: Mở rộng quy mô mạng với NAT và PAT 45
Hình 2-1: Network Address Translations 46
Hình 2-2: Port Address Translation 48
Hình 2-3: Biên dịch một địa chỉ với NAT 49
Hình 2-4: NAT tĩnh 51
Hình 2-5: NAT động 53
Hình 2-6: Overloading một địa chỉ toàn cục bên trong 54
Chương 4: Công nghệ WAN và bảo mật
Page | 7


PART 3: Giải pháp VPN 62
Hình 3-1: Các ví dụ về kết nối VPN 63
Hình 3-2: Kết nối site-to-site VPN 64
Hình 3-3: Minh họa về kết nối remote-access VPN 65
Hình 3-4: Cisco Easy VPN 66
Hình 3-5: WebVPN 69
Hình 3-6: Cách thức sử dụng khác nhau của IPsec 70
Hình 3-7: Mã hóa dữ liệu 71
Hình 3-8: Mã hóa key 72
Hình 3-9: Thiết lập quá trình mã hóa key 73
Hình 3-10: Xác thực peer 75


PHẦN 4: Thiết lập kết nối WAN với PPP 77
Hình 4-1: Các lựa chọn cho mạng WAN 78
Hình 4-2: Khung PPP và HDLC 81
Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP 83
Hình 4-4: NCP và LCP trong PPP 83
Hình 4-5: Chứng thực PAP 85
Hình 4-6: Chứng thực CHAP 86

PART 5: Giới thiệu về công nghệ Frame Relay 94
Hình 5-1: Mạng Frame Relay 94
Hình 5-2: Các thành phần của mạng Frame Relay 96
Chương 4: Công nghệ WAN và bảo mật
Page | 8

Hình 5-3: Khái niệm về Frame Relay PVC 96
Hình 5-4: Mạng Frame Relay thông thường với ba site 99
Hình 5-5: Mạng Frame Relay dười dạng partial-mesh 100
Hình 5-6: LAPF Header 102
Hình 5-7: Đóng gói Cisco và RFC 1490/2427 103
Hình 5-8: Hoạt động cơ bản của FECN và BECN 105
Hình 5-9: Full mesh với nhiều địa chỉ IP 108
Hình 5-10: Tiến trình làm việc của Inverse ARP 113
Hình 5-11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 118
Hình 5-12: Kết quả của việc shut down liên kết R2 và R3 124

PHẦN 6: Tổng quan về IPv6 127
Hình 6-1: Cấu trúc địa chỉ của Link-local 131
Hình 6-2: Cấu trúc địa chỉ của Site-local 131
Hình 6-3: Cấu trúc địa chỉ IPX 132
Hình 6-4: Cấu trức địa chỉ IPv4 tương thích với IPv6 132

Hình 6-5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 133
Hình 6-6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu 133
Hình 6-7: Cấu trúc địa chỉ Anycast 133
Hình 6-8: Cấu trúc địa chỉ đa hướng 134
Hình 6-9: Cấu trúc địa chỉ MAC của LAN 134
Hình 6-10: Tâp hợp các địa chỉ IPv6 135
Hình 6-11: Tự động cấu hình 137
Chương 4: Công nghệ WAN và bảo mật
Page | 9

Hình 6-12: Giao diện nhận diện EUI-64 138
Hình 6-13: Sự chuyển đổi IPv4 đến IPv6 140
Hình 6-14: Cisco IOS Dual Stack 141
Hình 6-15: Cấu hình Dual-Stack 141
Hình 6-16: Các yêu cầu của đường hầm IPv6 142
Hình 6-17: Ví dụ cấu hình RIPng 143





















Chương 4: Công nghệ WAN và bảo mật
Page | 10

Phụ lục về các bảng sử dụng trong tài liệu

Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức 20
Bảng 2: Well-known port number và các giao thức 27
Bảng 3: Các tham số cho cấu hình numbered extended ACL 27
Bảng 4: Các khái niệm về Frame Relay 97
Bảng 5: Các giao thức Frame Relay 98
Bảng 6: Các loại LMI 102
Bảng 7: Các giá trị trạng thái của PVC 122


















Chương 4: Công nghệ WAN và bảo mật
Page | 11

PART 1: Quản lý luồng dữ liệu bằng ACL

I - Giới thiệu chung:

Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng
là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy
bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong
những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo
mật là Access Control List (ACL). Đây là một tính năng giúp bạn có thể cấu
hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho
phép hay ngăn cản việc truy cập vào một địa chỉ nào đó.

Access List có 2 loại là Standard Access List và Extended Access List:

Standard Access List: đây là loại danh sách truy cập mà khi cho phép
hay ngăn cản việc truy cập, Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ
nguồn (Source Address).

Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với
loại Standard, các yếu tố về địa chị nguồn (Source Address), địa chỉ đích
(Destination Address), giao thức, port… sẽ được kiểm tra trước khi Router cho
phép việc truy cập hay ngăn cản.


Bạn cũng có thể cấu hình Standard và Extended của Cisco IOS ACL trên
trên các cổng (interfaces) của Router cho việc kiểm soát truy cập để kiểm soát
các loại lưu lượng được phép thông qua. Các tính năng của Cisco IOS được áp
dụng vào các cổng giao diện theo những hướng cụ thể (chiều dữ liệu vào với
chiều dữ liệu đi ra). Phần này sẽ mô tả hoạt động của các loại khác nhau của
ACL và cho bạn thấy làm thế nào để cấu hình IP phiên bản 4 (IPv4) ACL.

II - Hoạt động của ACL:

Tìm hiểu về việc sử dụng danh sách kiểm soát truy cập (ACL) cho phép
bạn xác định làm thế nào để thực hiện chúng trên mạng Cisco của bạn. ACL có
thể cung cấp một tính năng an ninh mạng quan trọng và lọc các gói tin vào và ra
các cổng giao diện của router.

Phần này mô tả một số ứng dụng cho ACL trên các mạng Cisco, xác định
các loại khác nhau của ACL có thể được thực hiện, và giải thích các quy trình
Cisco IOS software thực thi ACL.

Chương 4: Công nghệ WAN và bảo mật
Page | 12

1. Tìm biết về ACL:

Để có thể cấu hình và thực hiện các ACL, bạn cần phải hiểu được năng
lực của chúng được sử dụng. Thiết bị Cisco sử dụng ACL vào hai chức năng
chính: phân loại và lọc. Sau đây giải thích mỗi chức năng:

 Phân loại (Classification): Thiết bị định tuyến cũng sử dụng ACL để
xác định luồng dữ liệu truy cập cụ thể. Sau khi một ACL đã xác định và

phân loại luồng truy cập, bạn có thể cấu hình router về cách xử lý các
luồng dữ liệu. Ví dụ, bạn có thể sử dụng một ACL để xác định các mạng
con điều hành (subnet) như là nguồn lưu lượng truy cập (traffic source)
và sau đó cung cấp quyền ưu tiên so với các loại các luồng dữ liệu khác
trên một liên kết WAN tắc nghẽn (congested WAN).

 Bộ lọc (Filtering): Khi số lượng các kết nối router kết nối ra ngoài hệ
thống mạng tăng mạnh và sử dụng Internet tăng, kiểm soát truy cập mang
đến những thách thức mới. Quản trị mạng phải đối mặt với tình trạng khó
xử như thế nào để từ chối lưu lượng truy cập không mong muốn trong khi
cho phép truy cập thích hợp. Ví dụ, bạn có thể sử dụng một ACL như một
bộ lọc để giữ lại những việc truy cập các dữ liệu nhạy cảm (sensitive
data) cho khách hàng liên quan đến tài chính.

Qua tính năng phân loại và bộ lọc, ACL đã cung cấp một công cụ rất
mạnh trong Cisco IOS. Xem xét các sơ đồ mạng trong hình 1-1. ACL được sử
dụng, quản trị viên có những công cụ để chặn lưu lượng truy cập từ Internet,
cung cấp truy cập điều khiển để quản lý các thiết bị Cisco IOS, và cung cấp dịch
địa chỉ cho các địa chỉ tư nhân (private addresses) như các mạng 172.16.0.0

Chương 4: Công nghệ WAN và bảo mật
Page | 13


Hình 1-1: Kiểm soát lưu lượng bằng ACL
Lọc là chức năng của ACL mà mọi người dễ dàng nhận biết nhất. ACL
cung cấp một công cụ quan trọng để kiểm soát giao thông trên mạng. Lọc gói
giúp kiểm soát gói tin di chuyển thông qua mạng. Hình 1-2 cho thấy một ví dụ
về ACL lọc dữ liệu theo hướng vào trong và ra ngoài của một giao diện vật lý,
hoặc phiên Telnet của một thiết bị Cisco IOS.



Hình 1-2: Bộ lọc của ACL
Cisco cung cấp ACL để cho phép hoặc từ chối những điều sau đây:
 Việc vượt qua của các gói tin đến hoặc từ các cổng của router và lưu
lượng qua các router.
 Luồng dữ liệu Telnet truy cập vào hoặc ra khỏi cổng vty router để quản
lý router
Chương 4: Công nghệ WAN và bảo mật
Page | 14

Theo mặc định, tất cả lưu lượng IP được phép vào và ra khỏi tất cả các giao
diện router.
Khi các router loại bỏ gói tin, một số giao thức (protocol) trả về một gói tin đặc
biệt để thông báo cho người gửi là điểm đến không thể kết nối. Đối với các giao
thức IP, ACL có khả năng loại bỏ kết quả trong một "Destination unreachable
(UUU)" phản hồi cho việc ping và một "Administratively prohibited(A *!! A)"
phản hồi của việc traceroute.
IP ACL có thể phân loại và phân biệt các luồng dữ liệu. Phân loại cho phép bạn
chỉ định xử lý đặc biệt cho luồng dữ liệu được xác định trong một ACL, chẳng
hạn như sau:
 Xác định các loại hình dữ liệu phải được mã hóa trên một mạng riêng
ảo (VPN) kết nối.
 Xác định các tuyến đường (routes) sẽ được phân phối từ các giao thức
định tuyến với nhau.
Sử dụng với bộ lọc cho các tuyến đường để xác định các tuyến đường sẽ
được bao gồm trong các bản cập nhật định tuyến giữa các router.
 Sử dụng với chính sách dựa trên định tuyến (policy-based routing) để
xác định các loại hình giao thông được chuyển qua một liên kết được chỉ
định.

 Sử dụng với Network Address Translation (NAT) để xác định được địa
chỉ cần dịch.
 Sử dụng với tính năng bảo đảm chất lượng dịch vụ (QoS) để xác định
các gói dữ liệu nên được sắp xếp trong một hàng đợi được trong thời gian
tắc nghẽn.
Hình 1-3 cho thấy một số ví dụ về cách sử dụng ACLs để phân loại lưu
lượng truy cập, chẳng hạn như có lưu lượng truy cập để mã hóa trên các VPN,
trong đó tuyến đường sẽ được phân phối lại giữa Open Shortest Path First
(OSPF) và Enhanced Interior Gateway Protocol (EIGRP), và có địa chỉ dịch
bằng cách sử dụng NAT.





Chương 4: Công nghệ WAN và bảo mật
Page | 15









Hình 1-3: ACL xác dịnh luồng dữ liệu
2. Hoạt động của ACL:
ACL thể hiện thông qua một bộ quy tắc (rule) để kiểm soát cho gói dữ
liệu đi vào giao diện, các gói dữ liệu chuyển tiếp thông qua các bộ định tuyến,

và các gói dữ liệu thoát ra bên ngoài của router. ACL không kiểm soát trên các
gói có nguồn gốc xuất phát từ router. Thay vào đó, ACL ra chỉ định các điều
kiện của router làm thế nào xử lý lưu lượng các dữ liệu đi qua các cổng được
chỉ định.
ACL hoạt động theo hai cách:
■ Quản lý chiều vào (Inbound ACL): Các gói dữ liệu gửi đến một cổng
được xử lý trước khi chúng được chuyển đến cổng khác đi ra. Một
inbound ACL có hiệu quả bởi vì nó giúp tiết kiệm các chi phí của việc tra
cứu trong bảng định tuyến nếu gói tin sẽ được bỏ đi sau khi bị từ chối bởi
các kiểm tra của bộ lọc. Nếu gói dữ liệu thõa mãn các điều kiện cho phép
từ bộ lọc, nó sẽ được xử lý bằng bộ định tuyến.
■ Quản lý chiều ra (Outbound ACL): Các gói dữ liệu gửi đến được
chuyển tới giao diện ra bên ngoài và sau đó xử lý thông qua outbound
ACL.
Hình 1-4 cho thấy một ví dụ của một outbound ACL.


Chương 4: Công nghệ WAN và bảo mật
Page | 16


Khi một gói đi vào một giao diện, router kiểm tra bảng định tuyến để xem
nếu gói dữ liệu được định tuyến. Nếu gói tin không phải là định tuyến, nó bị bỏ
rơi (dropped).
Tiếp theo, router sẽ kiểm tra xem liệu các giao diện điểm đến (destination
interface) là nhóm lại với một ACL. Nếu giao diện đích không phải là nhóm lại
với một ACL, gói tin có thể được gửi tới bộ đệm đầu ra (output buffer).
Ví dụ về các hoạt động outbound ACL như sau:
■ Nếu giao diện đi là S0, cổng không được nhóm lại với một outbound ACL,
gói tin được gửi đến S0 trực tiếp.

■ Nếu giao diện ngoài là S1, là cổng được nhóm lại với một outbound ACL, gói
tin không được gửi ra trên S1 cho đến khi nó được kiểm tra bởi sự kết hợp của
ACL có liên quan với giao diện đó. Dựa trên các điều kiện của ACL, gói tin
được cho phép hay từ chối.
Đối với các danh sách gửi đi (outbound lists), "to permit" có nghĩa là gửi các
gói dữ liệu tới bộ đệm đầu ra, và "to deny" có nghĩa là để loại bỏ các gói tin.
Với một inbound ACL, khi một gói tin đi vào một giao diện, router kiểm tra để
xem liệu các giao diện nguồn (source interface) có được nhóm lại với một ACL.
Nếu giao diện nguồn không được nhóm lại với một ACL, router kiểm tra bảng
Chương 4: Công nghệ WAN và bảo mật
Page | 17

định tuyến để xem nếu gói dữ liệu được định tuyến. Nếu gói tin không phải là
định tuyến, bộ định tuyến từ chối các gói tin.
Ví dụ về các hoạt động inbound ACL như sau:
■ Nếu giao diện trong là S0, là cổng không được nhóm lại với một inbound
ACL, các gói dữ liệu được xử lý bình thường, và router sẽ kiểm tra xem liệu gói
tin được định tuyến.
■ Nếu giao diện trong là S1, là cổng được nhóm lại với một inbound ACL, gói
tin không được xử lý, và các bảng định tuyến không phải là điều kiện cho phép
gói tin đi hay không cho đến khi nó được kiểm tra bởi sự kết hợp của ACL có
liên quan với giao diện đó. Dựa trên các điều kiện thõa mãn ACL hay không,
gói tin được cho phép hay từ chối.

Đối với các danh sách gửi đến (inbound lists), "to permit" có nghĩa là để tiếp tục
quá trình các gói tin sau khi nhận được nó trên một giao diện trong, và "to deny"
có nghĩa là để loại bỏ các gói tin.

ACL hoạt động theo một tuần tự rất logic. Nó đánh giá các gói tin từ trên xuống
dưới, một tuyên bố (statement) tại một thời điểm. Nếu một tiêu đề gói tin và

biểu ACL thỏa mãn, phần còn lại của statement trong danh sách bị bỏ qua, và
gói dữ liệu được cho phép hoặc từ chối được xác định bởi các câu lệnh xuất
hiện. Nếu một tiêu đề gói tin không phù hợp với một điều kiện ACL, gói tin
được đưa đến kiểm tra bởi một điều kiện tiếp theo trong danh sách. Quá trình
này được tiếp tục cho đến cuối danh sách các điều kiện. Hình 1-5 cho thấy lưu
lượng hợp lý của báo cáo đánh giá.
Chương 4: Công nghệ WAN và bảo mật
Page | 18


Hình 1-5: Sự đánh giá của ACL
Một statement cuối cùng bao gồm tất cả các gói dữ liệu mà không thỏa mãn các
điều kiện. Và kết quả cho statement này cho tất cả các gói tin còn lại là "deny".
Thay vì đi vào, hoặc đi ra một giao diện, các bộ định tuyến sẽ từ chối tất cả các
gói còn lại. Satement này cuối cùng thường được gọi là "implicit deny any
statement" (ngầm từ chối tất cả). Bởi vì statement này, một ACL nên có ít nhất
một tuyên bố cho phép (permit) trong cấu trúc của nó, nếu không, ACL sẽ khóa
tất cả các luồng dữ liệu hay từ chối. Ngụ ý từ chối tất (implicit deny) cả sẽ
không hiển thị trong các cấu hình router.
Bạn có thể áp dụng một ACL cho nhiều giao diện cổng . Tuy nhiên, chỉ có một
ACL có thể tồn tại trên một giao thức, mỗi chiều, và mỗi giao diện.


Chương 4: Công nghệ WAN và bảo mật
Page | 19

3. Phân loại ACL:
IPv4 ACL đến trong các loại khác nhau. Những ACL khác nhau được sử dụng
tùy thuộc vào các chức năng yêu cầu. Các loại ACL có thể được phân loại như
sau:

■ Standard ACLs: Standard IP ACL kiểm tra địa chỉ nguồn của gói tin có thể
được định tuyến. Kết quả hoặc là cho phép hoặc từ chối tại đầu ra cho toàn bộ
một bộ giao thức, dựa trên mạng nguồn, mạng con, hoặc máy chủ lưu trữ địa chỉ
IP.
■ Extended ACL: Extended IP ACL kiểm tra cả địa chỉ nguồn và đích gói tin.
Nó cũng có thể kiểm tra các giao thức cụ thể, số cổng, và các thông số khác, cho
phép các quản trị linh hoạt hơn và kiểm soát.
Bạn có thể sử dụng hai phương pháp để xác định các standard và extended
ACL:
■ Đánh số ACL: sử dụng một số để xác định.
■ Đặt tên ACLs: sử dụng tên mô tả hay số nhận dạng.
4. Xác định ACL:
Khi bạn tạo ra số ACL, bạn nhập vào số ACL như là đối số đầu tiên của câu
lệnh ACL toàn cục. Các điều kiện kiểm tra cho một ACL khác nhau tùy thuộc
vào việc xác định một số standard hoặc extended ACL.
Bạn có thể tạo nhiều ACL cho một giao thức. Chọn một số ACL khác nhau cho
mỗi ACL mới trong vòng một giao thức nhất định. Tuy nhiên, bạn có thể áp
dụng chỉ có một ACL trên giao thức, mỗi chiều, và mỗi giao diện.
Xác định một số ACL 1-99 hoặc 1300-1999 chỉ thị các router để chấp nhận số
báo cáo cho standard IPv4 ACL. Xác định một số ACL 100-199 hoặc 2000-
2699 chỉ thị các router để chấp nhận số báo cáo cho extended IPv4 ACL.
Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức.
Chương 4: Công nghệ WAN và bảo mật
Page | 20


Các tên ACL có tính năng cho phép bạn xác định IP chuẩn và ACL mở
rộng với một chuỗi chữ số (tên) thay vì các đại diện số. Đặt tên IP ACL cung
cấp cho bạn linh hoạt hơn trong làm việc với các mục ACL.


Truy cập danh sách đánh số thứ tự nhập có nhiều lợi ích:

■ Bạn có thể chỉnh sửa theo thứ tự các câu lệnh ACL.
■ Bạn có thể loại bỏ các báo cáo cá nhân từ một ACL.

Chương 4: Công nghệ WAN và bảo mật
Page | 21

Thiết kế và thực thi tốt ACL là thực hiện thêm một thành phần bảo mật
quan trọng đối với mạng của bạn. Thực hiện theo các nguyên tắc chung để đảm
bảo rằng các ACL bạn tạo ra có các kết quả dự kiến:

■ Căn cứ vào các điều kiện kiểm tra, hãy chọn một standard hoặc extended,
đánh số, hoặc dùng tên ACL.

■ Chỉ có một ACL trên giao thức, mỗi hướng, và một giao diện được cho phép.
Nhiều ACL được phép cho mỗi giao diện, nhưng mỗi phải được cho một giao
thức khác nhau hoặc các hướng khác nhau.

■ ACL nên được tổ chức để cho phép xử lý từ trên xuống. Tổ chức ACL để
tham khảo cụ thể cho một mạng hoặc mạng con xuất hiện trước những điều tổng
quát hơn. Đặt điều kiện đó xảy ra thường xuyên hơn trước khi các điều kiện đó
xảy ra ít thường xuyên.

■ ACL có chứa một tiềm ẩn từ chối bất kỳ cuối cùng:
- Trừ khi kết thúc ACL với một điều kiện cho phép rõ ràng, theo mặc định,
ACL từ chối tất cả lưu lượng truy cập mà không phù hợp bất kỳ của các dòng
ACL.
- Mỗi ACL nên có ít nhất một tuyên bố cho phép. Nếu không, tất cả lưu lượng
đều bị từ chối.


■ Nên tạo các ACL trước khi áp dụng nó vào một giao diện.

■ Tùy thuộc vào cách áp dụng ACL, các ACL bộ lọc hoặc đi qua router hoặc đi
đến và từ các bộ định tuyến, chẳng hạn như lưu lượng truy cập đến hoặc từ các
đường vty.

■ Nên đặt extended ACLs càng gần càng tốt với nguồn (source) của lưu lượng
mà bạn muốn từ chối (deny). Vì standard ACL không chỉ định địa chỉ đích
(destination address), bạn phải đặt standard ACL càng gần càng tốt đến điểm
đến mà bạn muốn từ chối vì vậy nguồn có thể tiếp cận mạng lưới trung gian.

5. ACL Wildcard Masking:
Bộ lọc địa chỉ xảy ra khi dùng địa chỉ ACL wildcard masking để xác
nhận cách thức để kiểm tra hoặc từ chối những bits địa chỉ IP tương ứng.
Wildcard masking cho các bits của địa chỉ IP dùng số 1 và 0 để xác nhận cách
thức đối xử với những bits IP tương ứng, như sau:
Wildcard mask bit 0: Liên kết với giá trị bit tương ứng trong địa chỉ.
Chương 4: Công nghệ WAN và bảo mật
Page | 22

Wildcard mask bit 1: Không kiểm tra (bỏ qua) với giá trị bit tương ứng trong
địa chỉ.
Note: Một wildcard bit thường coi là một inverse mask.

Với sự điều chỉnh wildcard mask, có thể dùng cho phép hay từ chối sử
dụng trong một hàm ACL. Có thể chọn lựa một hay nhiều địa chỉ IP. Hình 1-6
chứng minh cách kiểm tra những bits địa chỉ tương ứng.

Hình 1-6: Wildcard Mask

Ghi chú: Wildcard Masking cho ACLs hoạt động khác với IP subnet mask. “0”
trong vị trí bits của ACL mask chỉ ra những bits tương ứng phải phù hợp
(match). “1” trong vị trí bits của ACL mask chỉ ra những bits tương ứng không
phù hợp trong địa chỉ.

Trong hình 1-7, một quản trị viên muốn kiểm tra một loạt các mạng con
IP để được cho phép hay từ chối. Giả sử địa chỉ IP là một Class B địa chỉ (hai
octet đầu tiên là số mạng), với 8 bit của subnetting. (Các octet thứ ba là cho
mạng con.) Quản trị viên muốn sử dụng các ký tự đại diện IP bit để phù hợp với
wildcard masking của mạng con 172.30.16.0/24 đến 172.30.31.0/24
Chương 4: Công nghệ WAN và bảo mật
Page | 23


Hình 1-7: Masking một dãy địa chỉ.
Để sử dụng một ACL phù hợp với phạm vi của các mạng con, sử dụng
địa chỉ IP 172.30.16.0 trong ACL, là subnet đầu tiên được xuất hiện, tiếp theo là
wildcard mask yêu cầu.
Các wildcard mask phù hợp với hai octet đầu tiên (172,30) của địa chỉ IP
bằng cách sử dụng tương ứng 0 bit trong hai octet đầu tiên của wildcard mask.
Vì không có quan tâm đến một host riêng rẽ, các wildcard mask bỏ qua
các octet cuối cùng bằng cách sử dụng các bit 1 tương ứng trong wildcard mask.
Ví dụ, octet cuối cùng của wildcard mask là 255 trong số thập phân.
Trong octet thứ ba, nơi mà các địa chỉ subnet xảy ra, các wildcard mask
của thập phân 15, hoặc nhị phân 00001111, phù hợp thứ tự 4 bit cao của địa chỉ
IP. Trong trường hợp này, wildcard mask phù hợp bắt đầu với mạng con subnet
172.30.16.0/24. Đối với 4 bit cuối cùng trong octet này, các wildcard mask cho
thấy rằng các bit có thể được bỏ qua. Trong các vị trí này, giá trị địa chỉ có thể
được nhị phân 0 hoặc nhị phân 1. Do đó, các wildcard mask liên kết subnet 16,
17, 18, và như vậy lên đến subnet 31. Các wildcard mask không phù hợp với

mạng con khác.
Trong ví dụ, địa chỉ 172.30.16.0 với wildcard mask 0.0.15.255 phù hợp
những subnets 172.30.16.0/24 đến 172.30.31.0/24.
Trong một số trường hợp, bạn phải sử dụng nhiều hơn một câu lệnh ACL
để phù hợp với một loạt các mạng con, cho ví dụ, để phù hợp 10.1.4.0/24 đến
10.1.8.0/24, sử dụng 10.1.4.0 0.0.3.255 và 10.1.8.0 0.0.0.255.
Các bit 0 và 1 trong wildcard mask ACL gây ra ACL cho một trong hai
khả năng phù hợp hoặc bỏ qua các bit tương ứng trong địa chỉ IP. Hình 1-8 cho
thấy wildcard mask được sử dụng để phù hợp với một host cụ thể hoặc để phù
hợp với tất cả các host lưu trữ (any).
Chương 4: Công nghệ WAN và bảo mật
Page | 24


Hình 1-8: Trường hợp đặc biệt của Wildcard Mask.
Thay vì dùng 172.30.16.29 0.0.0.0, có thể sử dụng chuỗi host 172.30.16.29.
Thay vì sử dụng 0.0.0.0 255.255.255.255, có thể thay thế bằng từ any.
Sau đây là tóm tắt những điểm chính được thảo luận trong phần này:

■ ACL có thể được sử dụng để lọc gói IP hoặc để xác định lưu lượng
truy cập để gán cho nó cách hành xử đặc biệt.

■ ACL thực hiện xử lý từ trên xuống và có thể được cấu hình cho lưu
lượng truy cập đến hoặc đi.

■ Bạn có thể tạo một ACL bằng cách sử dụng ACL có tên hoặc đánh số.
Được đặt tên hoặc số ACL có thể được cấu hình như standard ACL hoặc
extended, quyết định những gì nó có thể lọc.

■ Trong một wildcard mask, một bit 0 có nghĩa là để phù hợp với các bit

địa chỉ tương ứng, và một bit 1 có nghĩa là bỏ qua các bit địa chỉ tương ứng.

III - Cấu hình ACL:
Standard IPv4 ACL, đánh số từ 1 to 99 và 1300 đế 1999 hoặc dùng tên, dùng
lọc gói tin dựa trên địa chỉ nguồn và mask, và nó cho phép hoặc từ chối gói tin.
Hình 1-9 chứng tỏ rằng standard ACL chỉ kiểm tra địa chỉ nguồn trong header
của IPv4.
Chương 4: Công nghệ WAN và bảo mật
Page | 25



1. Cấu hình numbered standard IPv4 ACL:
Để cấu hình numbered standard IPv4 ACL trên Cisco Router, phải tạo
một standard ACL và kích hoạt nó trên một cổng giao diện. Câu lệnh access-list
dùng để tạo một entry trong danh sách lọc của standard ACL.
Câu lệnh ip access-group dùng kết các ACLs đã tồn tại đến một cổng
giao diện. Chỉ cho phép một ACL cho mỗi giao thức, mỗi hướng, và mội cổng
giao diện.
Ghi chú: Để loại bỏ một ACL từ một cổng giao diện, đầu tiên dùng no ip
access-group số/tên [in/out] trên cổng sau đó dùng no access-list tên/số để loại
bỏ toàn bộ ACL

Các bước bắt buộc để cấu hình và áp đặt một numbered standard ACL vào cổng
giao diện.
Step 1: dùng câu lệnh access-list để tạo một entry trong standard ACL.
Router(config)#access
-
list 1 permit 172.16.
0.0 0.0.255.255



Step 2: dùng câu lệnh interface để chọn lựa cổng cần áp đặt ACL
Router(config)#interface Ethernet 1

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×