Link xem tivi trực tuyến nhanh nhất xem tivi trực tuyến nhanh nhất xem phim mới 2023 hay nhất xem phim chiếu rạp mới nhất phim chiếu rạp mới xem phim chiếu rạp xem phim lẻ hay 2022, 2023 xem phim lẻ hay xem phim hay nhất trang xem phim hay xem phim hay nhất phim mới hay xem phim mới link phim mới

Link xem tivi trực tuyến nhanh nhất xem tivi trực tuyến nhanh nhất xem phim mới 2023 hay nhất xem phim chiếu rạp mới nhất phim chiếu rạp mới xem phim chiếu rạp xem phim lẻ hay 2022, 2023 xem phim lẻ hay xem phim hay nhất trang xem phim hay xem phim hay nhất phim mới hay xem phim mới link phim mới

intTypePromotion=1
ADSENSE

Giáo trình CCNA - Chương 4: Công nghệ WAN và bảo mật

Chia sẻ: Trần Công Vĩnh Hưng | Ngày: | Loại File: PDF | Số trang:183

272
lượt xem
93
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong những công cụ rất quan trọng trong Cisco Router

Chủ đề:
Lưu

Nội dung Text: Giáo trình CCNA - Chương 4: Công nghệ WAN và bảo mật

  1. Chương 4: Công nghệ WAN và b ảo mật GIÁO TRÌNH CCNA CHƯƠNG 4: CÔNG NGHỆ WAN VÀ BẢO MẬT Page | 1
  2. Chương 4: Công nghệ WAN và b ảo mật CHỦ ĐỀ PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List .......................... 11 Giới thiệu chung ............................................................................... 11 I. Hoạt động của ACL ......................................................................... 11 II. 1. Tìm hiểu về ACL ........................................................................ 12 2. Hoạt động của ACL ................................ .................................... 15 3. Phân loại ACL ............................................................................ 19 4. Xác đ ịnh ACL ............................................................................. 19 5. ACL wildcard masking ............................................................... 21 Cấu hình ACL .................................................................................. 24 III. 1. Cấu hình numbered standard IPv4 ACL ................................ ...... 25 2. Cấu hình numbered extended IPv4 ACL ..................................... 26 3. Cấu hình named ACL ................................................................. 28 3.1 Khởi tạo named standard ACL ............................................... 28 3.2 Khởi tạo named extended ACL .............................................. 28 4. Thêm phần ghi chú cho Named hay Numbered ACLs ................ 31 Các lệnh kiểm tra trong ACL ........................................................... 32 IV. Các loại khác của ACL ................................ .................................... 32 V. 1. Dynamic ACL ............................................................................. 33 2. Reflexive ACL ............................................................................ 35 3. Time-based ACL ........................................................................ 37 Ghi chú khi sử dụng Wildcard Masks .............................................. 38 VI. VII. Giải quyết sự cố trong ACL ............................................................. 41 Page | 2
  3. Chương 4: Công nghệ WAN và b ảo mật PART 2: Mở rộng quy mô mạng với NAT và PAT ..................................... 45 Giới thiệu về NAT và PAT .............................................................. 45 I. 1. Biên dịch địa chỉ nguồn bên trong ............................................... 48 2. Cơ chế N AT tĩnh ......................................................................... 51 3. Cơ chế N AT độ ng ....................................................................... 52 4. Overloading một địa chỉ toàn cục b ên trong ................................ 53 Giải quyết vấn đề bảng dịch ............................................................. 56 II. Giải quyết sự cố với NAT ................................................................ 57 III. PART 3: Giải pháp VPN ................................ .............................................. 62 Giới thiệu về giải pháp VPN ............................................................ 62 I. 1. VPN và những lợi thế ................................................................. 62 2. Các loại VPN ................................ .............................................. 64 3. IPsec SSL VPN (WebVPN) ........................................................ 69 Giới thiệu IPsec ............................................................................... 70 II. PHẦN 4: Thiết lập kết nối WAN với PPP ................................................... 77 Hiểu biết về đóng gói trong WAN ................................................... 77 I. Xác thực PPP ................................................................................... 80 II. 1. Tổng quan về PPP ....................................................................... 80 2. Vùng giao thức của PPP .............................................................. 80 3. Giao thức điều khiển liên kết ...................................................... 81 3.1 Phát hiện liên kết lặp .............................................................. 81 3.2 Tăng cường khả năng phát hiện sự cố .................................... 82 3.3 PPP Multilink ........................................................................ 82 3.4 Xác thực PPP ......................................................................... 83 Page | 3
  4. Chương 4: Công nghệ WAN và b ảo mật Cấu hình và kiểm tra PPP ................................................................ 86 III. Giải quyết sự cố trong xác thực PPP ................................ ................ 89 IV. 1. Giải quyết các vấn đề ở lớp 2 ...................................................... 89 2. Giải quyết các vấn đề ở lớp 3 ...................................................... 92 PART 5: Giới thiệu về công nghệ F rame Relay ........................................... 94 Cấu hình chung mạng Frame Relay ................................................. 94 I. Tổng quan về Frame Relay .............................................................. 95 II. 1. Các tiêu chuẩn của Frame Relay ................................................. 98 2. Mạch ảo ...................................................................................... 98 3. LMI và các loại đóng gói .......................................................... 101 Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay .............. 104 III. 1. FECN và BECN ........................................................................ 104 2. Các Loại bỏ điều kiện (DE bit) .................................................. 105 Cấu hình và kiểm tra Frame Relay ................................................. 106 IV. 1. Kế hoạch cho một cấu hình Frame Relay .................................. 106 2. Một mạng với đầy đủ meshed với một IP Subnet ...................... 108 3. Cấu hình đóng gói và LMI ................................ ........................ 109 4. Map địa chỉ Frame Relay .......................................................... 113 4.1 Inverse ARP ......................................................................... 113 4.2 Map tĩnh Frame Relay ......................................................... 113 Xử lý sự cố với mạng Frame Relay ................................................ 114 V. PHẦN 6: Tổng quan về IPv6 ...................................................................... 127 I. Khái quát chung ............................................................................. 127 Page | 4
  5. Chương 4: Công nghệ WAN và b ảo mật Cách thức viết địa chỉ Ipv6 ............................................................. 127 II. Phương thức gán địa chỉ Ipv6 ......................................................... 130 III. Cấu trúc địa chỉ IPv6 ...................................................................... 130 IV. 1. Địa chỉ Unicast ......................................................................... 131 2. Địa chỉ Anycast ......................................................................... 133 3. Địa chỉ Multicast ....................................................................... 134 Gán địa chỉ IPv6 cho cổng giao diện ................................ .............. 136 V. 1. Cấu hình thủ công cổng giao diện ............................................. 136 2. Gán đ ịa chỉ bằng EUI-64 .......................................................... 136 3. Cấu hình tự động ....................................................................... 137 4. DHCPv6 (Stateful) ................................................................ .... 138 5. Dùng d ạng EUI-64 trong địa chỉ IPv6 ....................................... 138 Xem xét định tuyến với IPv6 ......................................................... 139 VI. VII. Chiến lược để thực hiện IPv6 ......................................................... 139 VIII. Cấu hình IPv6 ................................................................................ 143 PHẦN 7: Các bài lab minh họa ................................ .................................. 146 1. Cấu hình Standard Access List ................................................. 146 2. Cấu hình extended Access List ................................................. 151 3. Cấu hình NAT tĩnh ................................................................... 156 4. Cấu hình NAT overload ............................................................ 159 5. Cấu hình PPP PAP và CHAP .................................................... 163 6. Cấu hình FRAME RELAY ....................................................... 169 7. Cấu hình FRAME RELAY SUBINTERFACE ......................... 176 Page | 5
  6. Chương 4: Công nghệ WAN và b ảo mật Phụ lục về các hình sử dụng trong tài liệu PART 1: Quản lý luồng dữ liệu bằng ACL ...................................................... 11 H ình 1 -1: Kiểm soát lưu lượng bằng Access Control List ................................ . 13 H ình 1 -2: Bộ lọc của Access Control List ......................................................... 13 H ình 1 -3: ACL xác đ ịnh luồng dữ liệu .............................................................. 15 H ình 1 -4: Ví dụ của một outbound ACL ........................................................... 16 H ình 1 -5: Sự đánh giá của ACL ........................................................................ 18 H ình 1 -6: Wildcard mask .................................................................................. 22 H ình 1 -7: Masking một d ãy địa chỉ ................................................................... 23 H ình 1 -8: Trường hợp đặc biệt của Wildcard Mask .......................................... 24 H ình 1 -9: Standard ACL ................................ ................................................... 25 H ình 1 -10: Extended ACL ................................................................................ 26 H ình 1 -11: Dynamic ACL ................................................................................. 33 H ình 1 -12: Reflexive ACL ................................................................................ 36 H ình 1 -13: Time-based ACL ............................................................................. 37 PART 2: Mở rộng quy mô mạng với NAT và PAT................................ ........... 45 H ình 2 -1: Network Address Translations .......................................................... 46 H ình 2 -2: Port Address Translation ................................................................... 48 H ình 2 -3: Biên d ịch một địa chỉ với NAT ......................................................... 49 H ình 2 -4: NAT tĩnh ........................................................................................... 51 H ình 2 -5: NAT động ......................................................................................... 53 H ình 2 -6: Overloading một địa chỉ toàn cục bên trong ...................................... 54 Page | 6
  7. Chương 4: Công nghệ WAN và b ảo mật PART 3: Giải pháp VPN ................................ ................................................... 62 H ình 3 -1: Các ví dụ về kết nối VPN .................................................................. 63 H ình 3 -2: Kết nối site-to-site VPN .................................................................... 64 H ình 3 -3: Minh họa về kết nối remote-access VPN ................................ ........... 65 H ình 3 -4: Cisco Easy VPN ............................................................................... 66 H ình 3 -5: WebVPN .......................................................................................... 69 H ình 3 -6: Cách thức sử dụng khác nhau của IPsec ............................................ 70 H ình 3 -7: Mã hóa d ữ liệu .................................................................................. 71 H ình 3 -8: Mã hóa key ....................................................................................... 72 H ình 3 -9: Thiết lập quá trình mã hóa key .......................................................... 73 H ình 3 -10: Xác thực peer .................................................................................. 75 PHẦN 4: Thiết lập kết nối WAN với PPP ........................................................ 77 H ình 4 -1: Các lựa chọn cho mạng WAN ........................................................... 78 H ình 4 -2: Khung PPP và HDLC ....................................................................... 81 H ình 4 -3: Cân b ằng tải không dùng tính năng Multilink PPP ............................ 83 H ình 4 -4: NCP và LCP trong PPP ..................................................................... 83 H ình 4 -5: Chứng thực PAP ............................................................................... 85 H ình 4 -6: Chứng thực CHAP ............................................................................ 86 PART 5: Giới thiệu về công nghệ F rame Relay ................................................ 94 H ình 5 -1: Mạng Frame Relay ............................................................................ 94 H ình 5 -2: Các thành phần của mạng Frame Relay ............................................ 96 Page | 7
  8. Chương 4: Công nghệ WAN và b ảo mật H ình 5 -3: Khái niệm về Frame Relay PVC ....................................................... 96 H ình 5 -4: Mạng Frame Relay thông thường với ba site ..................................... 99 H ình 5 -5: Mạng Frame Relay dười dạng partial-mesh .................................... 100 H ình 5 -6: LAPF Header .................................................................................. 102 H ình 5 -7: Đóng gói Cisco và RFC 1490/2427.................................................. 103 H ình 5 -8: Ho ạt động cơ bản của FECN và BECN ........................................... 105 H ình 5 -9: Full mesh với nhiều địa chỉ IP ......................................................... 108 H ình 5 -10: Tiến trình làm việc của Inverse ARP ............................................. 113 H ình 5 -11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 .. 118 H ình 5 -12: K ết quả của việc shut down liên kết R2 và R3 .............................. 124 PHẦN 6: Tổng quan về IPv6 ........................................................................... 127 H ình 6 -1: Cấu trúc địa chỉ của Link-local ....................................................... 131 H ình 6 -2: Cấu trúc địa chỉ của Site-local ......................................................... 131 H ình 6-3: Cấu trúc địa chỉ IPX ........................................................................ 132 H ình 6 -4: Cấu trức địa chỉ IPv4 tương thích với IPv6 ..................................... 132 H ình 6 -5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 ...................................................... 133 H ình 6 -6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu .............................. 133 H ình 6 -7: Cấu trúc địa chỉ Anycast ................................................................. 133 H ình 6 -8: Cấu trúc địa chỉ đa hướng ............................................................... 134 H ình 6-9: Cấu trúc địa chỉ MAC của LAN ...................................................... 134 H ình 6 -10: Tâp hợp các địa chỉ IPv6 ................................................................ 135 H ình 6 -11: Tự động cấu hình .......................................................................... 137 Page | 8
  9. Chương 4: Công nghệ WAN và b ảo mật H ình 6 -12: Giao diện nhận diện EUI-64........................................................... 138 H ình 6 -13: Sự chuyển đổi IPv4 đến IPv6 ........................................................ 140 H ình 6 -14: Cisco IOS Dual Stack ................................................................... 141 H ình 6-15: Cấu hình Dual-Stack ..................................................................... 141 H ình 6 -16: Các yêu cầu của đường hầm IPv6 .................................................. 142 H ình 6 -17: Ví dụ cấu hình RIPng .................................................................... 143 Page | 9
  10. Chương 4: Công nghệ WAN và b ảo mật Phụ lục về các bảng sử dụng trong tài liệu Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức ....................... 20 Bảng 2: Well-known port number và các giao thức .............................................. 27 Bảng 3: Các tham số cho cấu hình numbered extended ACL ............................... 27 Bảng 4: Các khái niệm về Frame Relay ................................ ............................... 97 Bảng 5: Các giao thức Frame Relay ..................................................................... 98 Bảng 6: Các loại LMI ........................................................................................ 102 Bảng 7: Các giá trị trạng thái của PVC ............................................................... 122 Page | 10
  11. Chương 4: Công nghệ WAN và b ảo mật PART 1: Quản lý luồng dữ liệu bằng ACL I - Giới thiệu chung: Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng là m ột giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo mật là Access Control List (ACL). Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router đ ể tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy cập vào một địa chỉ nào đó. Access List có 2 loại là Standard Access List và Extended Access List: Standard Access List: đây là loại danh sách truy cập mà khi cho phép hay ngăn cản việc truy cập, Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ nguồn (Source Address). Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với loại Standard, các yếu tố về địa chị nguồn (Source Address), địa chỉ đích (Destination Address), giao thức, port… sẽ được kiểm tra trước khi Router cho phép việc truy cập hay ngăn cản. Bạn cũng có thể cấu hình Standard và Extended của Cisco IOS ACL trên trên các cổng (interfaces) của Router cho việc kiểm soát truy cập đ ể kiểm soát các lo ại lưu lượng được phép thông qua. Các tính năng của Cisco IOS được áp dụng vào các cổng giao diện theo những hướng cụ thể (chiều d ữ liệu vào với chiều dữ liệu đi ra). Phần này sẽ m ô tả hoạt động của các lo ại khác nhau của ACL và cho bạn thấy làm thế nào để cấu hình IP phiên b ản 4 (IPv4) ACL. II - Hoạt động của ACL: Tìm hiểu về việc sử d ụng danh sách kiểm soát truy cập (ACL) cho phép bạn xác định làm thế nào đ ể thực hiện chúng trên mạng Cisco của b ạn. ACL có thể cung cấp một tính năng an ninh mạng quan trọng và lọc các gói tin vào và ra các cổng giao diện của router. Phần này mô tả một số ứng d ụng cho ACL trên các mạng Cisco, xác đ ịnh các loại khác nhau của ACL có thể được thực hiện, và giải thích các quy trình Cisco IOS software thực thi ACL. Page | 11
  12. Chương 4: Công nghệ WAN và b ảo mật 1. Tìm biết về ACL: Để có thể cấu hình và thực hiện các ACL, bạn cần phải hiểu được năng lực của chúng được sử dụng. Thiết bị Cisco sử dụng ACL vào hai chức năng chính: phân loại và lọc. Sau đây giải thích mỗi chức năng:  Phân loại (Classification): Thiết bị định tuyến cũng sử dụng ACL đ ể xác định luồng dữ liệu truy cập cụ thể. Sau khi một ACL đã xác định và phân loại luồng truy cập, bạn có thể cấu hình router về cách xử lý các luồ ng dữ liệu. V í dụ, b ạn có thể sử d ụng một ACL để xác định các mạng con điều hành (subnet) như là nguồ n lưu lượng truy cập (traffic source) và sau đó cung cấp q uyền ưu tiên so với các loại các luồng dữ liệu khác trên một liên kết WAN tắc nghẽn (congested WAN).  Bộ lọc (Filtering): Khi số lượng các kết nối router kết nối ra ngoài hệ thố ng mạng tăng mạnh và sử d ụng Internet tăng, kiểm soát truy cập mang đến những thách thức mới. Q uản trị mạng phải đối mặt với tình trạng khó xử như thế nào để từ chối lưu lượng truy cập không mong muố n trong khi cho phép truy cập thích hợp. V í dụ, b ạn có thể sử dụng mộ t ACL như một bộ lọc đ ể giữ lại những việc truy cập các dữ liệu nhạy cảm (sensitive data) cho khách hàng liên quan đến tài chính. Qua tính năng phân loại và b ộ lọc, ACL đã cung cấp một công cụ rất mạnh trong Cisco IOS. Xem xét các sơ đồ mạng trong hình 1 -1 . ACL được sử dụng, quản trị viên có những công cụ để chặn lưu lượng truy cập từ Internet, cung cấp truy cập đ iều khiển để quản lý các thiết bị Cisco IOS, và cung cấp dịch địa chỉ cho các địa chỉ tư nhân (private addresses) như các mạng 172.16.0.0 Page | 12
  13. Chương 4: Công nghệ WAN và b ảo mật Hình 1-1: Kiểm soát lưu lượng bằng ACL Lọc là chức năng của ACL mà mọi người dễ dàng nhận biết nhất. ACL cung cấp một công cụ quan trọng để kiểm soát giao thông trên mạng. Lọc gói giúp kiểm soát gói tin di chuyển thông qua mạng. Hình 1-2 cho thấy một ví dụ về ACL lọc dữ liệu theo hướng vào trong và ra ngoài của một giao diện vật lý, hoặc phiên Telnet của một thiết bị Cisco IOS. H ình 1 -2: Bộ lọc của ACL Cisco cung cấp ACL để cho phép ho ặc từ chối những điều sau đây:  Việc vượt qua của các gói tin đến hoặc từ các cổng của router và lưu lượng qua các router.  Luồng dữ liệu Telnet truy cập vào hoặc ra khỏi cổng vty router để quản lý router Page | 13
  14. Chương 4: Công nghệ WAN và b ảo mật Theo mặc đ ịnh, tất cả lưu lượng IP được phép vào và ra khỏ i tất cả các giao diện router. Khi các router loại bỏ gói tin, mộ t số giao thức (protocol) trả về một gói tin đặc biệt để thông báo cho người gửi là điểm đến không thể kế t nối. Đ ối với các giao thức IP, ACL có khả năng loại b ỏ kết quả trong m ột "Destination unreachable (UUU)" phản hồi cho việc ping và một "Administratively prohibited(A *!! A)" phản hồi của việc traceroute. IP ACL có thể phân loại và phân biệt các luồng dữ liệu. Phân loại cho phép bạn chỉ định x ử lý đặc biệt cho luồng dữ liệu được xác định trong một ACL, chẳng hạn như sau:  X ác định các loại hình dữ liệu phải được mã hóa trên một mạng riêng ảo (VPN) kết nối.  X ác định các tuyến đường (routes) sẽ được phân phối từ các giao thức định tuyến với nhau. Sử d ụng với bộ lọc cho các tuyến đường để xác định các tuyến đường sẽ được bao gồ m trong các bản cập nhật định tuyến giữa các router.  Sử d ụng với chính sách d ựa trên định tuyến (policy-based routing) để xác định các loại hình giao thông được chuyển qua một liên kết được chỉ định.  Sử d ụng với N etwork Address Translation (NAT) để x ác định được địa chỉ cần dịch.  Sử d ụng với tính năng bảo đảm chất lượng dịch vụ (QoS) để xác định các gói dữ liệu nên được sắp xếp trong một hàng đợi được trong thời gian tắc nghẽn. Hình 1-3 cho thấy một số ví dụ về cách sử dụng ACLs để phân loại lưu lượng truy cập, chẳng hạn như có lưu lượng truy cập để mã hóa trên các VPN, trong đó tuyến đường sẽ đ ược phân phối lại giữa Open Shortest Path First (OSPF) và Enhanced Interior Gateway Protocol (EIGRP), và có địa chỉ dịch bằng cách sử dụng NAT. Page | 14
  15. Chương 4: Công nghệ WAN và b ảo mật H ình 1-3: ACL xác d ịnh luồng dữ liệu 2. Hoạt động của ACL: ACL thể hiện thông qua một bộ quy tắc (rule) đ ể kiểm soát cho gói dữ liệu đi vào giao diện, các gói d ữ liệu chuyển tiếp thông qua các bộ định tuyến, và các gói dữ liệu thoát ra bên ngoài của router. ACL không kiểm soát trên các gói có nguồn gốc xuất phát từ router. Thay vào đó, ACL ra chỉ định các điều kiện của router làm thế nào xử lý lưu lượng các d ữ liệu đi qua các cổng được chỉ định. ACL ho ạt độ ng theo hai cách: ■ Quản lý chiều vào (Inbound ACL): Các gói dữ liệu gửi đ ến một cổ ng được xử lý trước khi chúng được chuyển đ ến cổng khác đi ra. Một inbound ACL có hiệu quả bởi vì nó giúp tiết kiệm các chi phí của việc tra cứu trong bảng định tuyến nếu gói tin sẽ được bỏ đi sau khi bị từ chối bởi các kiểm tra của bộ lọc. N ếu gói dữ liệu thõa mãn các điều kiện cho phép từ bộ lọc, nó sẽ được xử lý bằng bộ định tuyến. ■ Quản lý chiều ra (Outbound ACL): Các gói dữ liệu gửi đến được chuyển tới giao diện ra bên ngoài và sau đó xử lý thông qua o utbound ACL. Hình 1-4 cho thấy một ví dụ của một o utbound ACL. Page | 15
  16. Chương 4: Công nghệ WAN và b ảo mật Khi một gói đi vào một giao diện, router kiểm tra bảng định tuyến đ ể xem nếu gói dữ liệu được định tuyến. Nếu gói tin không phải là định tuyến, nó b ị bỏ rơi (dropped). Tiếp theo , router sẽ kiểm tra xem liệu các giao diện điểm đến (destination interface) là nhóm lại với mộ t ACL. Nếu giao diện đích không phải là nhóm lại với một ACL, gói tin có thể được gửi tới bộ đệm đầu ra (output buffer). Ví dụ về các hoạt động outbound ACL như sau: ■ Nếu giao diện đi là S0, cổ ng không được nhóm lại với mộ t o utbound ACL, gói tin được gửi đến S0 trực tiếp. ■ Nếu giao diện ngoài là S1 , là cổng được nhóm lại với một outbound ACL, gói tin không được gửi ra trên S1 cho đến khi nó được kiểm tra bởi sự kết hợp của ACL có liên quan với giao diện đó . D ựa trên các điều kiện của ACL, gói tin được cho phép hay từ chối. Đối với các danh sách gửi đi (outbound lists), "to permit" có nghĩa là gửi các gói dữ liệu tới b ộ đệm đầu ra, và "to deny" có nghĩa là để loại bỏ các gói tin. Với một inbound ACL, khi m ột gói tin đi vào một giao diện, router kiểm tra để xem liệu các giao diện nguồn (source interface) có được nhóm lại với một ACL. Nếu giao diện nguồn không được nhóm lại với một ACL, router kiểm tra bảng Page | 16
  17. Chương 4: Công nghệ WAN và b ảo mật định tuyến để x em nếu gói dữ liệu được định tuyến. Nếu gói tin không phải là định tuyến, bộ định tuyến từ chối các gói tin. Ví dụ về các hoạt động inbound ACL như sau: ■ Nếu giao diện trong là S0, là cổng không được nhóm lại với một inbound ACL, các gói dữ liệu được xử lý b ình thường, và router sẽ kiểm tra xem liệu gói tin đ ược định tuyến. ■ Nếu giao diện trong là S1, là cổ ng đ ược nhóm lại với một inbound ACL, gói tin không được xử lý , và các bảng định tuyến không phải là điều kiện cho phép gói tin đi hay không cho đến khi nó đ ược kiểm tra bởi sự kết hợp của ACL có liên quan với giao diện đó. Dựa trên các điều kiện thõa mãn ACL hay không, gói tin được cho phép hay từ chối. Đối với các danh sách gửi đến (inbound lists), "to permit" có nghĩa là để tiếp tục quá trình các gói tin sau khi nhận được nó trên một giao diện trong, và "to deny" có nghĩa là để loại bỏ các gói tin. ACL ho ạt độ ng theo một tuần tự rất logic. Nó đánh giá các gói tin từ trên xuống dưới, một tuyên bố (statement) tại m ột thời điểm. Nếu một tiêu đề gói tin và biểu ACL thỏa mãn, phần còn lại của statement trong danh sách bị bỏ qua, và gói dữ liệu được cho phép hoặc từ chối được xác định bởi các câu lệnh xuất hiện. N ếu một tiêu đề gói tin không phù hợp với một điều kiện ACL, gói tin được đưa đến kiểm tra bởi mộ t điều kiện tiếp theo trong danh sách. Q uá trình này được tiếp tục cho đến cuối danh sách các điều kiện. H ình 1 -5 cho thấy lưu lượng hợp lý của b áo cáo đánh giá. Page | 17
  18. Chương 4: Công nghệ WAN và b ảo mật Hình 1-5: Sự đánh giá của ACL Một statement cuối cùng bao gồm tất cả các gói d ữ liệu mà không thỏa mãn các điều kiện. V à kết quả cho statement này cho tất cả các gói tin còn lại là "deny". Thay vì đi vào, hoặc đi ra một giao diện, các bộ định tuyến sẽ từ chối tất cả các gói còn lại. Satement này cuối cùng thường được gọ i là "implicit deny any statement" (ngầm từ chối tất cả). Bởi vì statement này, mộ t ACL nên có ít nhất một tuyên bố cho p hép (permit) trong cấu trúc của nó, nếu không, ACL sẽ khóa tất cả các luồng dữ liệu hay từ chối. Ngụ ý từ chố i tất (implicit deny) cả sẽ không hiển thị trong các cấu hình router. Bạn có thể áp dụng một ACL cho nhiều giao diện cổng . Tuy nhiên, chỉ có một ACL có thể tồn tại trên một giao thức, mỗi chiều, và mỗi giao diện. Page | 18
  19. Chương 4: Công nghệ WAN và b ảo mật 3. Phân loại ACL: IPv4 ACL đ ến trong các loại khác nhau. N hững ACL khác nhau được sử dụng tùy thuộc vào các chức năng yêu cầu. Các loại ACL có thể được phân loại như sau: ■ Standard ACLs: Standard IP ACL kiểm tra đ ịa chỉ nguồn của gói tin có thể được định tuyến. Kết quả hoặc là cho phép hoặc từ chối tại đầu ra cho toàn bộ một bộ giao thức, d ựa trên mạng nguồn, mạng con, hoặc máy chủ lưu trữ địa chỉ IP. ■ Extended ACL: Extended IP ACL kiểm tra cả địa chỉ nguồn và đích gói tin. Nó cũng có thể kiểm tra các giao thức cụ thể, số cổng, và các thông số khác, cho phép các quản trị linh hoạt hơn và kiểm soát. Bạn có thể sử dụng hai p hương pháp để xác định các standard và extended ACL: ■ Đánh số ACL: sử dụng một số đ ể xác định. ■ Đặt tên ACLs: sử dụng tên mô tả hay số nhận dạng. 4. Xác định ACL: Khi bạn tạo ra số ACL, b ạn nhập vào số ACL như là đối số đầu tiên của câu lệnh ACL toàn cục. Các điều kiện kiểm tra cho một ACL khác nhau tùy thuộ c vào việc x ác định một số standard hoặc extended ACL. Bạn có thể tạo nhiều ACL cho một giao thức. Chọ n một số ACL khác nhau cho mỗi ACL mới trong vòng mộ t giao thức nhất định. Tuy nhiên, bạn có thể áp dụng chỉ có một ACL trên giao thức, mỗi chiều, và mỗi giao diện. Xác đ ịnh một số ACL 1-99 hoặc 1300-1999 chỉ thị các router đ ể chấp nhận số báo cáo cho standard IPv4 ACL. Xác định một số ACL 100-199 hoặc 2000- 2699 chỉ thị các router để chấp nhận số b áo cáo cho extended IPv4 ACL. Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức. Page | 19
  20. Chương 4: Công nghệ WAN và b ảo mật Các tên ACL có tính năng cho phép bạn xác định IP chuẩn và ACL mở rộng với một chuỗi chữ số (tên) thay vì các đại diện số. Đặt tên IP ACL cung cấp cho bạn linh hoạt hơn trong làm việc với các mục ACL. Truy cập danh sách đánh số thứ tự nhập có nhiều lợi ích: ■ Bạn có thể chỉnh sửa theo thứ tự các câu lệnh ACL. ■ Bạn có thể loại bỏ các báo cáo cá nhân từ một ACL. Page | 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2