Đại Hc Cn Thơ – Khoa Công Ngh Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mng – V1.0
S vn hành ca các VLAN động được da trên địa ch vt lý MAC, địa ch lun lý
hay kiu giao thc ca gói tin.
Khi mt trm được ni kết ln đầu tiên vào mt cng ca switch, switch tương ng
s kim tra mc t cha địa ch MAC trong cơ s d liu qun tr VLAN và t động cu
hình cng này vào VLAN tương ng. Li ích ln nht ca tiếp cn này là ít qun lý nht
vi vic ni dây khi mt người s dng được ni vào hoc di di và vic cnh báo được
tp trung khi mt máy tính không đưc nhn biết được đưa vào mng. Thông thường, cn
nhiu s qun tr trưc để thiết lp cơ s d liu bng phn mm qun tr VLAN và duy trì
mt cơ s d liu chính xác v tt c các máy tính trên toàn mng.
Hình 6.7 –Cài đặt VLAN động
6.8 Mô hình thiết kế VLAN vi mng đường trc
Điu quan trng nht đối vi bt k mt kiến trúc VLAN nào là kh năng truyn ti
thông tin v VLAN gia các switch được ni li vi nhau và vi các router nm trên mng
đường trc. Đó là cơ chế truyn ti ca VLAN cho phép các cuc giao tiếp gia các
VLAN trên toàn mng. Các cơ chế truyn ti này xóa b rào cn v mt vt lý gia nhng
người s dng và tăng cường tính mm do cho mt gii pháp s dngVLAN khi người s
dng di di và cung cp các cơ chế cho kh năng phi hp gia các thành phn ca h
thng đường trc.
Hình 6.8 - Thiết kế VLAN xuyên qua Backbone
Biên son : Th.s Ngô Bá Hùng – 2005 71
Su tm bi:
www.daihoc.com.vn
Đại Hc Cn Thơ – Khoa Công Ngh Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mng – V1.0
Đường trc thông thường hot động như là mt đim tp hp ca nhiu lượng
thông tin ln. Nó có th mang thông tin v nhng người dùng cui trong VLAN và nhn
dng gia các switch, các router và các server ni trc tiếp. Vi đường trc, băng thông
ln, các đường ni kết có kh năng ln thường được chn để chuyn ti thông tin xuyên
qua toàn công ty.
Biên son : Th.s Ngô Bá Hùng – 2005 72
Su tm bi:
www.daihoc.com.vn
Đại Hc Cn Thơ – Khoa Công Ngh Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mng – V1.0
Chương 7
Danh sách điu khin truy cp
(Access Control List)
Mc đích
Chương này nhm gii thiu cho người đọc nhng vn đề sau :
Danh sách truy cp là gì
Nguyên tc hot động ca danh sách truy cp
Danh sách truy cp trong chun mng TCP/IP
Biên son : Th.s Ngô Bá Hùng – 2005 73
Su tm bi:
www.daihoc.com.vn
Đại Hc Cn Thơ – Khoa Công Ngh Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mng – V1.0
7.1 Gii thiu
Các mng có s dng chn đường đầu tiên đã ni mt tp nh các mng LAN và
các máy tính li vi nhau. Kế tiếp nhà qun tr mng m rng các ni kết ca router sang
các mng bên ngoài. S gia tăng ca vic s dng Internet đã mang đến nhiu thách thc
đối vi vic điu khin truy cp. Các công ngh mi hơn như mng đường trc bng cáp
quang cho đến các dch v băng thông rng và nhng b hoán chuyn tc độ cao đã làm
gia tăng nhiu hơn các thách thc trong điu khin truy cp mng.
Các nhà qun tr đang đối mt vi các vn đề có tính tiến thoái lưỡng nan như: Làm
sao t chi các ni kết không mong mun trong khi vn cho phép các truy cp hp l ?
Mc dù các công c như mt khu, các thiết b phn hi và các thiết b an toàn vt lý thì
hu ích, chúng thường thiếu s din gii mm do và nhng cơ chế điu khin mà hu hết
các nhà qun tr mng mong mun.
Hình 7.1 – Vn đề an ninh trong mng din rng
Danh sách truy cp (Access list) hay còn gi Danh sách điu khin truy cp (Access
Control List) cung cp mt công c mnh cho vic điu khin mng. Nhng danh sách này
đưa vào cơ chế mm do trong vic lc dòng các gói tin mà chúng đi ra, đi vào các giao
din ca các router. Các danh sách này giúp m rng vic bo v các tài nguyên mng mà
không làm nh hưởng đến nhng dòng giao tiếp hp l. Danh sách truy cp phân bit giao
thông ca các gói tin ra thành nhiu chng loi mà chúng được phép hay b t chi. Danh
sách truy cp có th được s dng để:
Nhn dng các gói tin cho vic xếp th t ưu tiên hay sp xếp trong hàng đợi
Hn chế hoc gim ni dung ca thông tin cp nht chn đường.
Danh sách truy cp cũng x lý các gói tin cho các tính năng an toàn khác như:
Cung cp cơ chế điu khin truy cp động đối vi các gói tin IP da vào cơ
chế nhn dng người dùng nâng cao, s dng tính năng chìa và ng khóa.
Nhn dng các gói tin cho vic mã hóa
Nhn dng các truy cp bng dch v Telnet được cho phép để cu hình
router.
Biên son : Th.s Ngô Bá Hùng – 2005 74
Su tm bi:
www.daihoc.com.vn
Đại Hc Cn Thơ – Khoa Công Ngh Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mng – V1.0
7.2 Định nghĩa danh sách truy cp
Danh sách truy cp là nhng phát biu dùng để đặc t nhng điu kin mà mt nhà
qun tr mun thiết đặt, nh đó router s x lý các cuc truyn ti đã được mô t trong
danh sách truy cp theo mt cách thc không bình thường. Danh sách truy cp đưa vào
nhng điu khin cho vic x lý các gói tin đặc bit theo mt cách thc duy nht. Có hai
loi danh sách truy cp chính là:
Danh sách truy cp chun (standard access list): Danh sách này s dng cho
vic kim tra địa ch gi ca các gói tin được chn đường. Kết qu cho phép
hay t chi gi đi cho mt b giao thc da trên địa ch mng/mng con hay
địa ch máy.
o Ví d: Các gói tin đến t giao din E0 được kim tra v địa ch
giao thc. Nếu được phép, các gói tin s được chuyn ra giao din S0
đã được nhóm trong danh sách truy cp. Nếu các gói tin b t chi bi
danh sách truy cp, tt c các gói tin cùng chng loi s b xóa đi.
Hình 7.2 – Ý nghĩa ca danh sách truy cp chun
Danh sách truy cp m rng (Extended access list): Danh sách truy cp m
rng kim tra cho c địa ch gi và nhn ca gói tin. Nó cũng kim tra cho
các giao thc c th, s hiu cng và các tham s khác. Điu này cho phép
các nhà qun tr mng mm do hơn trong vic mô t nhng gì mun danh
sách truy cp kim tra. Các gói tin được phép hoc t chi gi đi tùy thuc
vào gói tin đó được xut phát t đâu và đi đến đâu.
7.3 Nguyên tc hot động ca Danh sách truy cp
Danh sách truy cp din t mt tp hp các qui lut cho phép đưa vào các điu
khin các gói tin đi vào mt giao din ca router, các gói tin lưu li tm thi router và
các gói tin gi ra mt giao din ca router. Danh sách truy cp không có tác dng trên các
gói tin xut phát t router đang xét.
Biên son : Th.s Ngô Bá Hùng – 2005 75
Su tm bi:
www.daihoc.com.vn