THÔNG TIN TÀI LIỆU
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: THIẾT KẾ HỆ THỐNG MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Biên soạn: ThS Nguyễn Văn Thành Email : nvanthanh@ntt.edu.vn Phone : 09 1819 3131 MH – Thiết kế hệ thống mạng Bài 1: Tổng quan thiết kế mạng Bài 2: Tiêu chuẩn thiết kế mạng cục Bài 3: Cấu hình thiết bị mạng Bài 4: Các kỹ thuật Layer-2 TKM Bài 5: Các kỹ thuật Layer-3 TKM Bài 6: Các kỹ thuật TKM TrungLayer-4 tâm đào tạo SmartPro Bài 7: Ứng dụng Access-List TKM Bài 7: Ứng dụng Access-List vào TKM • Tổng quan vế Access List • Wildcard mask • Standard Access-list • Ứng dụng Std ACL thiết kế mạng • Extended Access-list • Ứng dụng Ext ACL thiết kế mạng Tổng quan Access Control List (ACL) • Khái niệm Access Control List • Access Control List (ACL) danh sách điều kiện truy vấn Router tiến hành lọc (filter) phân loại (classification) gói tin • Router thực lọc (hay phân loại) gói tin váo (inbound) (outbound) khỏi interface Router • Mục đích sử dụng ACL • Lọc gói tin (Packet filter): Router kiểm sốt gói tin ngang qua hành động: cho (permit) hủy bỏ (drop / deny) • Lọc gói tin (Packet classification): xác định loại gói tin (như: GRE, NAT, OSPF, EIGRP…) để chọn phương thức xử lý gói tin Tổng quan Access Control List (ACL) • Các loại Access List: • Standard ACL: • Danh sách chứa địa IP làm tiêu chuẩn (criteria) so khớp với Source IP gói tin • Extended ACL: • Danh sách chứa giao thức, Source IP, Source Port, Destination IP, Destination Port… làm tiêu chuẩn (criteria) so sánh • Mỗi dịng thơng tin ACL có hành động: permit hay deny • Định danh cho ACL: • Numbered ACL: sử dụng số để định danh cho Access-list • Standard ACL: dùng số: - 99, hoặc: 1300 – 1999 • Extended ACL: dùng số: 100 – 199, hoặc: 2000 – 2699 • Named ACL: sử dụng “tên” để định danh cho Access-list Tổng quan Access Control List (ACL) • Hoạt động ACL Tổng quan Access Control List (ACL) • ACL Entry Wildcard Mask • Khái niệm Wildcard Mask: • Access list danh sách chứa thơng tin IP address làm tiêu chí (criteria) so khớp cho Router điều khiển luồng traffic • Trên IP address mẫu (32 bits), phải có thơng tin bit cần so khớp, bit không cần so khớp • Wildcard mask dãy 32 bits thơng tin bits cần (hay không cần) so khớp IP address mẫu • Quy tắc Wildcard mask: • Wildcard bit = => bit IP address mẫu vị trí tương ứng phải khớp (match) • Wildcard bit = => bit IP address mẫu vị trí tương ứng khơng cần khớp (no match) Wildcard Mask • Minh họa vai trị Wildcard bits: •Wildcard bit = => bit địa tương ứng phải khớp (match) •Wildcard bit = => bỏ qua (không so khớp) bit địa tương ứng Wildcard Mask • Các ví dụ dùng Wildcard mask: Address wildcard mask: 172.30.16.0 0.0.15.255 Wildcard Mask • Các ví dụ dùng Wildcard mask: ▪ 172.30.16.29 0.0.0.0 phải tất bit địa (host) ▪ Có thể viết theo cách khác: host 172.30.16.29 ▪ 0.0.0.0 255.255.255.255 bỏ qua tất bit địa (any) ▪ Tương đương với từ khóa: any Standard Access Lists • Giới thiệu Standard Access Lists: • Là danh sách chứa địa IP làm tiêu chuẩn (criteria) so khớp với Source IP gói tin • Mỗi dịng thơng tin Standard ACL có cột (4 field): • Cột 1: hành động (permit hay deny) khớp (match) điều kiện • Cột 2: IP address mẫu • Cột 3: Wildcard mask – quy định bits IP address mẫu cần so khớp • Standard ACL định danh bằng: • Numbered ACL: sử dụng số từ - 99 • Named ACL: sử dụng “tên” để định danh cho Access-list • Đặt Standard ACL vào interface: • Nên chọn interface phía xa Source Network (gần Destination) • Xét gói tin theo hướng outbound interface 12 Standard Access Lists • Standard ACL commands: • Định nghĩa Standard ACL định danh số, ghi dòng đầu tiên: Router (config)# access-list number {deny | permit} source [wildcard] • Ví dụ: access-list permit 192.168.1.0 0.0.0.255 • Thêm dịng cho Standard ACL có: • Dùng cú pháp lệnh với number ACL có • Ví dụ: R(config)# access-list permit 192.168.2.0 0.0.0.255 • Định nghĩa Standard ACL định danh tên R(config)# ip access-list standard name Router(config-std-nacl)# {deny | permit} source [wildcard] • Ví dụ: R(config)# ip access-list standard Mang-A R(config-std-nac)# permit 192.168.1.0 0.0.0.255 R(config-std-nac)# permit 192.168.2.0 0.0.0.255 Standard Access Lists • Standard ACL commands: • Gán ACL vào interface: • Bước 1: chọn interface cần gán • Bước 2: dùng lệnh ip access-group … Router (config)# interface if-name Router (config-if)# ip access-group access-list-number { in | out } • Ví dụ: R (config)# interface f0/0 R (config-if)# ip access-group out Hoặc: R (config-if)# ip access-group Mang-A out • Lưu ý: mặc định interface có gán ACL deny (drop) tất packet không match với ACL gán • Xem lại ACL có: Router#show access-lists Ứng dụng Standard ACL TKM • Vai trị Std ACL TKM: • Dùng ngăn chặn (hay cho phép) cho phép tất traffic từ mạng khác vào mạng ngang qua Router • Dùng ngăn chặn (hay cho phép) traffic từ mạng đến mạng khác • Dùng ngăn chặn (hay cho phép) hay số máy tính mạng (hay vào) mạng khác • Dùng cấp phép truy cập internet thông qua chế NAT Router • Dùng cho cấp phép (hay ngăn cấm) máy tính (hoặc mạng) sử dụng giao thức Router 15 Standard Access Lists • Các ví dụ sử dụng Standard ACL: • Chỉ cho phép mạng 172.16.0.0 /16 truy cập lẫn nhau: RouterX(config)# access-list permit 172.16.0.0 (implicit deny all - not visible in the list) (access-list deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out 0.0.255.255 Standard Access Lists • Các ví dụ sử dụng Standard ACL • Deny a specific host: RouterX(config)# access-list deny 172.16.4.13 0.0.0.0 RouterX(config)# access-list permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out Standard Access Lists • Các ví dụ sử dụng Standard ACL • Deny a specific subnet: RouterX(config)# access-list deny 172.16.4.0 RouterX(config)# access-list permit any (implicit deny all) (access-list deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out 0.0.0.255 Extended Access Lists • Cấu trúc gói TCP/IP: • Protocol: loại giao thức: ICMP, IP, TCP, UDP, GRE,… • Source Address, Destination Address: địa IP nguồn đích • Source Port, Destination Port: địa port ứng dụng / dịch vụ Extended Access Lists • Giới thiệu Extended Access Lists: • Là danh sách chứa giao thức, Source IP, Source Port, Destination IP, Destination Port… làm tiêu chuẩn (criteria) so sánh • Mỗi dịng thơng tin Extended ACL có nhiều fields: • Cột 1: hành động (permit hay deny) khớp (match) điều kiện • Cột 2: Protocol: loại giao thức: ICMP, IP, TCP, UDP, GRE,… • Cột & 4: Source IP Address Wildcard mask • Cột 5: Source Port (nếu giao thức TCP hay UDP) • Cột & 7: Destination Address Wildcard mask • Cột 8: Destination Port (nếu giao thức TCP hay UDP) • Nếu trường giao thức ICMP có thêm số phương thức ICMP, như: • echo: gởi gói PING • echo-reply: phản hồi gói PING 20 Extended Access Lists • Giới thiệu Extended Access Lists: • Nếu trường giao thức IP khơng có trường Port • Nếu trường giao thức GRE, OSPF, EIGRP có trường khác tương ứng với giao thức • Một số toán tử dùng cho Port: • eq : (equal) với port Ví dụ: eq 80 • gt : (greater than) lớn port Ví dụ: gt 80 • lt : (less than) nhỏ port Ví dụ: lt 80 • neq : (not equal) khơng với port Ví dụ: neq 80 • range : dãy port Ví dụ: range 3456-3459 21 Extended Access Lists • Định danh cho Extended ACL: • Numbered ACL: sử dụng số từ 100 - 199 • Named ACL: sử dụng “tên” để định danh cho Access-list • Gán Extended ACL vào interface: • Nên chọn interface phía gần Source Network (xa Destination) • Xét gói tin theo hướng inbound interface (nếu đặt ACL phía gần Source Network) 22 Extended Access Lists • Extended ACL commands: • Định nghĩa Extended ACL định danh số, ghi dòng đầu tiên: R(config)# access-list number [wildcard] [port] [wildcard] [port] [log] • Ví dụ: R(config)# access-list 100 permit tcp 10.0.0.0 0.0.0.255 any eq 80 • Định nghĩa Standard ACL định danh tên R(config)# ip access-list extende name Router(config-std-nacl)# {deny | permit} [wildcard] [port] [wildcard] [port] • Ví dụ: R(config)# ip access-list ext Mang-A R(config-std-nac)# permit tcp 10.0.0.0 0.0.0.255 any eq 80 • R(config-std-nac)# permit icmp any any echo Extended Access Lists • Các ví dụ sử dụng Extended ACL • Deny FTP from subnet 172.16.4.0 to subnet 172.16.3.0 out of E0 • Permit all other traffic RouterX(config)# access-list 101 RouterX(config)# access-list 101 RouterX(config)# access-list 101 (implicit deny all) (access-list 101 deny ip 0.0.0.0 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 permit ip any any 255.255.255.255 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group 101 out Extended Access Lists • Các ví dụ sử dụng Extended ACL • Deny Telnet từ subnet 172.16.4.0 khỏi E0 • Permit tất traffic khác RouterX(config)# access-list 101 deny tcp 172.16.4.0 RouterX(config)# access-list 101 permit ip any any (implicit deny all) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group 101 out 0.0.0.255 any eq 23
Ngày đăng: 22/06/2023, 16:31
Xem thêm: