BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 1
MỤC LỤC

PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO ..........................................2
PHẦN 2. NGUYÊN TẮC ĐỊNH TUYẾN ................................................................7
PHẦN 3. REMOVING PROTOCOL VÀ SERVICES .........................................16
PHẦN 4: ACCESS CONTROL LISTS (ACL) .....................................................19
PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING..............................................27
PHẦN 6. CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS) ........34







BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 2
PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO
1. An ninh Mạng là gì?
Có những lúc, ví dụ như khi bạn rời văn phòng về nhà khi kết thúc ngày làm
việc, bạn sẽ bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng và
thiết bị. Dường như bạn cũng sẽ có một ngăn chứa an toàn hoặc khóa tủ lưu trữ các
tài liệu kinh doanh mật.
Mạng máy tính của bạn cũng đỏi hỏi cùng một mức độ bảo vệ như vậy.
Các công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và sử
dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ
vi rút và sâu máy tính trên mạng Internet. Nếu không có An ninh Mạng được triển

khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt
động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là
các hành động phạm pháp nữa.
2. An ninh hoạt động như thế nào
An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp
các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau. Ngay cả
khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu
của bạn trước đa dạng các loại tấn công mạng.
Các thông tin an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn
dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước
các tấn công. Cụ thể, An ninh Mạng là:
Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài . Các tấn
công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa
của doanh nghiệp của bạn. Một hệ thống an ninh hiệu quả sẽ giám sát tất cả
các hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện
những phản ứng thích hợp.
Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc
nào .Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 3
đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo
vệ.
Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ
thống của họ .Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về
truy cập dữ liệu. Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính
người dùng, chức năng công việc hoặc các tiêu chí kinh doanh cụ thể khác.
Giúp bạn trở nên tin cậy hơn .Bởi vì các công nghệ an ninh cho phép hệ
thống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với
những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có

thể an tâm rằng dữ liệu của họ được an toàn.
3. Các doanh nghiệp đang sử dụng các công nghệ an ninh như thế nào
An ninh Mạng đã trở thành một yêu cầu đối với doanh nghiệp, đặc biệt là những
doanh nghiệp hoạt động trên mạng Internet. Khách hàng, nhà cung cấp và đối tác
kinh doanh của bạn kỳ vọng vào bạn để bảo vệ bất kỳ thông tin nào mà họ chia sẻ
với bạn.
Trong khi An ninh Mạng đã gần như trở thành một yêu cầu tiên quyết để vận
hành một doanh nghiệp, nó cũng mang lại lợi ích theo nhiều cách khác nhau. Dưới
đây là những lợi ích mà các doanh nghiệp thu được từ một mạng được bảo vệ an
toàn:
a. Lòng tin của khách hàng
Tính riêng tư được đảm bảo
Cộng tác được khuyến khích
Một hệ thống an ninh mạng đảm bảo với khách hàng rằng những thông tin nhạy
cảm như là số thẻ tín dụng hoặc các chi tiết kinh doanh bí mật sẽ không bị truy cập
và khai thác trái phép. Các đối tác kinh doanh của bạn sẽ cảm thấy tự tin hơn khi
chia sẻ dữ liệu như là dự báo doanh thu hoặc lên kế hoạch sản phẩm trước khi phát
hành. Ngoài ra, các công nghệ đó vừa ngăn chặn xâm nhập trái phép vừa cung cấp
cho các đối tác của bạn truy cập an toàn đến thông tin trên mạng của bạn, giúp bạn
cộng tác và làm việc cùng nhau một cách hiệu quả hơn.
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 4
b. Di động
Bảo vệ truy cập di động
Nâng cao năng suất khi đang ở ngoài văn phòng
Giải pháp An ninh Mạng mạnh mẽ cho phép nhân viên của bạn truy cập an toàn
trên đường đi hoặc từ nhà riêng mà không làm lây lan vi rút hoặc các dạng tấn công
khác. Truy cập mạng an toàn, thuận tiện có nghĩa là nhân viên có thể sử dụng thông
tin quan trọng khi họ cần, giúp họ trở nên có năng suất cao hơn ngay cả khi họ

không ngồi trước bàn làm việc.
c. Năng suất cao hơn
Ít lãng phí thời gian do spam hơn
Đạo đức và cộng tác tốt hơn giữa các nhân viên
Một hệ thống An ninh Mạng hiệu quả có thể nâng cao năng suất trên phạm vi
toàn bộ tổ chức của bạn. Nhân viên mất ít thời gian hơn vào những công việc không
có năng suất như là chống spam và diệt vi rút. Mạng và kết nối Internet của bạn luôn
được an toàn, đảm bảo rằng bạn và nhân viên của mình có truy cập thường xuyên
đến Internet và e-mail.
d. Giảm chi phí
Tránh được gián đoạn dịch vụ
Các dịch vụ tiên tiến được phát triển an toàn
Sự gián đoạn hoạt động của mạng gây thiệt hại lớn đối với mọi thể loại doanh
nghiệp. Bằng cách đảm bảo rằng mạng và kết nối Internet của bạn là an toàn và
hoạt động liên tục, bạn có thể đảm bảo rằng khách hàng có thể tiếp cận bạn khi họ
cần đến bạn. An ninh hiệu quả cho phép doanh nghiệp của bạn bổ sung các dịch vụ
và ứng dụng mới mà không làm ảnh hưởng đến hiệu năng mạng. Sử dụng một
khuynh hướng chủ động để bảo vệ dữ liệu của bạn sẽ đảm bảo rằng doanh nghiệp
của bạn sẽ tồn tại và hoạt động theo yêu cầu.
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 5
Khi công ty của bạn tăng trưởng, nhu cầu về mạng cũng thay đổi. Việc thiết lập
một mạng an toàn, mạnh mẽ ngay từ hôm nay sẽ cho phép công ty bạn bổ sung
những chức năng tiên tiến như là kết nối mạng không dây an toàn hoặc thoại và hội
nghị.
4. Bắt đầu với An ninh Mạng
Tùy theo nhu cầu của doanh nghiệp bạn với những công nghệ an ninh thích hợp
là bước đầu tiên để bắt đầu một dự án an ninh mạng.
Sử dụng danh sách những cân nhắc dưới đây để giúp bạn bắt đầu:

a. Cấp độ an ninh hiện tại của bạn
Khám phá về những tính năng an ninh mà mạng của bạn đã có. Danh sách này
sẽ giúp xác định những thiếu hụt trong các phương pháp bảo vệ hiện tại của bạn.
Mạng hiện tại có cung cấp tường lửa, mạng riêng ảo, ngăn chặn xâm nhập,
chống vi rút, một mạng không dây an toàn, phát hiện bất thường và quản lý
danh tính cũng như phê duyệt tuân thủ hay không?
Những tính năng này có giao tiếp với nhau không?
b. Các tài sản của bạn
Xây dựng một danh mục về các tài sản của bạn để xác định xem sẽ cần bao
nhiêu cấp độ, lớp bảo vệ mà hệ thống của bạn cần có.
Bên trong doanh nghiệp cụ thể của bạn, những tài sản nào có vai trò quan
trọng nhất đối với sự thành công?
Có phải việc bảo vệ thông tin nội bộ của bạn là quan trọng nhất không; hay là
việc bảo vệ thông tin khách hàng của bạn là quan trọng nhất; hay là cả hai?
Giá trị của những tài sản này lớn đến đâu?
Những tài sản này nằm ở đâu trong doanh nghiệp của bạn?
c. Truyền tải thông tin
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 6
Đánh giá xem thông tin đang được chia sẻ như thế nào ở bên trong và bên ngoài
công ty của bạn.
Nhân viên của bạn có cần truy cập nhanh đến thông tin nội bộ để thực hiện
công việc của họ không?
Bạn có chia sẻ dữ liệu bên ngoài bốn bức tường của doanh nghiệp không?
Bạn kiểm soát việc ai có thể truy cập đến thông tin này như thế nào?
Bạn có cung cấp những cấp độ khác nhau về truy cập cho những người dùng
mạng khác nhau không?
d. Các kế hoạch phát triển
Công ty bạn có đang lập kế hoạch bổ sung thêm các tính năng tiên tiến vào hệ

thống của mình không? Hệ thống của bạn cần phải thích ứng và linh động đến đâu?
Giải pháp an ninh của bạn cần phải có thể hỗ trợ được sự gia tăng lưu lượng mạng
hoặc các ứng dụng tiên tiến mà không làm gián đoạn dịch vụ.
e. Đánh giá rủi ro
Xác định xem những hậu quả của một vụ tấn công an ninh có vượt khỏi phạm vi
về tổn thất năng suất và gián đoạn dịch vụ không.
Môi trường kinh doanh của bạn bị điều chỉnh về mặt pháp lý đến mức độ
nào?
Rủi ro của việc không tuân thủ quy định là gì?
Doanh nghiệp của bạn có thể chấp nhận được mức độ gián đoạn thời gian
hoạt động đến mức độ nào trước khi tổn thất về tài chính hoặc uy tín xảy ra?
f. Dễ sử dụng
Một công nghệ an ninh tốt nhất cũng sẽ không mang lại cho bạn lợi ích nào cả
nếu nó không được lắp đặt và sử dụng dễ dàng. Hãy đảm bảo là bạn có các tài
nguyên để quản lý hệ thống mà bạn đã lắp đặt.

BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 7
PHẦN 2. NGUYÊN TẮC ĐỊNH TUYẾN

1. Khái Niệm ROUTING

.
.

2. Nguyên tắc định tuyến
Các giao thức định tuyến phi đạt được các yêu cầu đồng thời sau:
Khám phá động một topo mạng.
Xây dựng các đường ngắn nhất.

Kiểm soát tóm tắt thông tin về các mạng bên ngoài, có thể sử dụng các metric
khác nhau trong mạng cục bộ.
Phản ứng nhanh với sự thay đổi topo mạng và cập nhật các cây đường ngắn
nhất.
Làm tất cả các điều trên theo định kỳ thời gian.

3. Các Phương Thức Định Tuyến:

A. STATIC ROUTING
:
.
.
.

BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 8
:
Router(config)#ip route {destination network} {subnet mask} {nexthop ip address |
outgoing interface} <administrative distance>
A
1.


DEFAULT ROUTE
:
Router(config)#ip route 0.0.0.0 0.0.0.0 {nexthop ip address | outgoing interface}
)

BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST


Page 9





Router#show running-config
Router#show ip route

BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 10
B. DYNAMIC ROUTING

Routing Protocol (giao thức định tuyến)
.

Các loại giao thức định tuyến:

Distance Vector: RIP, IGRP. Hoạt động theo nguyên tắt "hàng xóm", nghĩa là
mỗi router sẻ gửi bảng routing-table của chính mình cho tất cả các router được nối
trực tiếp với mình. Các router đó sau đo so sánh với bản routing-table mà mình hiện
có và kiểm xem route của mình và route mới nhận được, route nào tốt hơn sẻ được
cập nhất. Các routing-update sẻ được gởi theo định kỳ (30 giây với RIP , 60 giây đối
với RIP-novell, 90 giây đối với IGRP). Do đó, khi có sự thay đổi trong mạng, các
router sẻ biết được khúc mạng nào down liền.
Ưu điểm:
Dễ cấu hình, router không tốn nhiều tài nguyên để xử lí thông tin định tuyến
Nhược điểm:

Hệ thống metric quá đơn giản (như rip chỉ là hop-count) nên có thể xảy ra
việc chọn đường đi tốt nhất (best route) không hoàn toàn chính xác.
Do phải cập nhật định kỳ các routing-table, nên một lượng bandwidth đáng
kể sẽ bị lãng phí, throughput giảm đi mặc dù mạng không có thay đổi.
Các Router hội tụ chậm, sẻ dẫn đến việc sai lệch trong bảng route, thiếu ổn
định (route flaping), Routing LOOP.

Link-state: Linkstate không gởi routing-update, mà chỉ gởi tình trạng [state] của
các cái link trong linkstate-database của mình đi cho các router khác, để rồi tự mỗi
router sẽ chạy giải thuật shortest path first (giao thức OSPF - open shortest path
first), tự xây dựng bảng routing-table cho mình. Sau đó khi mạng đả hội tụ, link-state
protocol sẻ không gởi update định kỳ như Distance-vector, mà chỉ gởi khi nào có
một sự thay đổi trong topology mạng (1 line bị down, cần sử dụng đường back-up)
Ưu điểm:
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 11
Scalable: có thể thích nghi được với đa số hệ thống, cho phép người thiết kế
có thễ thiết kế mạng linh hoạt, phản ứng nhanh với thay đổi sảy ra.
Do không gởi interval-update, nên link state bảo đảm được băng thông cho
các đưởng mạng .
Khuyết điểm:
Do router phải sử lý nhiều, nên chiếm nhiều tài nguyên, giảm performance .
Một khuyết điểm nửa là: linkstate khá khó cấu hình để chạy tốt , những người
làm việc có kinh nghiệm lâu thì mới cấu hình tốt được, do đó các kỳ thi cao
cấp của Cisco chú trọng khá kỷ đến linkstate

:
Routing Information Protocol (RIP)
Interior Gateway Routing Protocol (IGRP)

Enhanced Interior Gateway Routing Protocol (EIGRP)
Open Shortest Path First (OSPF)

a. RIP

- - 15
Administrative distance là 120


2
RIP v1: classful (không gửi subnetmask)
(có kèm theo subnetmask), authentication
Cấu hình
:
Router(config)#router rip
:
Router(config-router)#network <network address>
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 12
Kiểm tra hoạt động
Show ip protocol
Show ip route
Debug ip rip để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router.
No debug ip rip hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface

b. IGRP
Vector

ết hợp giữa băng thông (bandwidth) và độ trễ
Administrative distance là 100


classful (không gửi subnetmask)
Là giao thức riêng của Cisco
Cấu hình
:
Router(config)#router igrp <AS>
:
Router(config-router)#network <network address>
(*) AS (Autonomous System): là một mạng được quản trị chung với các chính sách
định tuyến chung. Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ
thông tin tìm đường với nhau.
Kiểm tra hoạt động
Show ip protocol
Show ip route
Debug ip igrp events để xem các cập nhật của IGRP được gửi và nhận trên router.
No debug ip igrp events hoặc undebug all để tắt chế độ debug
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 13
Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface
Debug ip igrp transactions để xem các sự IGRP events được xử lý trên router.

c. EIGRP
.
).
-vector.

.
.
/CIDR.
.
.
.
: bandwidth, delay, load, reliability.
(unequal-
cost).
90.
mạng không liên tục
.
Cấu hình
:
Router(config)# router eigrp <AS number>
:
Router(config-router)# network <network number>
- :
Router(config-router)# no auto-summary
leshoot: show ip route, show ip route eigrp, show ip eigrp
neighbors, show ip eigrp topology.
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

Page 14

d. OSPF
.
-state.
.
0

(backbone 0.
.
(equal-
cost).
/CIDR.
.
.
, topology database.
110.

Cấu hình

Router(config)#router ospf <process ID>

Router(config-router)#network <network number><wildcard mask> area <area ID>