Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 25 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
25
Dung lượng
1,1 MB
Nội dung
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: THIẾT KẾ HỆ THỐNG MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Biên soạn: ThS Nguyễn Văn Thành Email : nvanthanh@ntt.edu.vn Phone : 09 1819 3131 MH – Thiết kế hệ thống mạng Bài 1: Tổng quan thiết kế mạng Bài 2: Tiêu chuẩn thiết kế mạng cục Bài 3: Cấu hình thiết bị mạng Bài 4: Các kỹ thuật Layer-2 TKM Bài 5: Các kỹ thuật Layer-3 TKM Bài 6: Các kỹ thuật TKM TrungLayer-4 tâm đào tạo SmartPro Bài 7: Ứng dụng Access-List TKM Bài 7: Ứng dụng Access-List vào TKM • Tổng quan vế Access List • Wildcard mask • Standard Access-list • Ứng dụng Std ACL thiết kế mạng • Extended Access-list • Ứng dụng Ext ACL thiết kế mạng Tổng quan Access Control List (ACL) • Khái niệm Access Control List • Access Control List (ACL) danh sách điều kiện truy vấn Router tiến hành lọc (filter) phân loại (classification) gói tin • Router thực lọc (hay phân loại) gói tin váo (inbound) (outbound) khỏi interface Router • Mục đích sử dụng ACL • Lọc gói tin (Packet filter): Router kiểm sốt gói tin ngang qua hành động: cho (permit) hủy bỏ (drop / deny) • Lọc gói tin (Packet classification): xác định loại gói tin (như: GRE, NAT, OSPF, EIGRP…) để chọn phương thức xử lý gói tin Tổng quan Access Control List (ACL) • Các loại Access List: • Standard ACL: • Danh sách chứa địa IP làm tiêu chuẩn (criteria) so khớp với Source IP gói tin • Extended ACL: • Danh sách chứa giao thức, Source IP, Source Port, Destination IP, Destination Port… làm tiêu chuẩn (criteria) so sánh • Mỗi dịng thơng tin ACL có hành động: permit hay deny • Định danh cho ACL: • Numbered ACL: sử dụng số để định danh cho Access-list • Standard ACL: dùng số: - 99, hoặc: 1300 – 1999 • Extended ACL: dùng số: 100 – 199, hoặc: 2000 – 2699 • Named ACL: sử dụng “tên” để định danh cho Access-list Tổng quan Access Control List (ACL) • Hoạt động ACL Tổng quan Access Control List (ACL) • ACL Entry Wildcard Mask • Khái niệm Wildcard Mask: • Access list danh sách chứa thơng tin IP address làm tiêu chí (criteria) so khớp cho Router điều khiển luồng traffic • Trên IP address mẫu (32 bits), phải có thơng tin bit cần so khớp, bit không cần so khớp • Wildcard mask dãy 32 bits thơng tin bits cần (hay không cần) so khớp IP address mẫu • Quy tắc Wildcard mask: • Wildcard bit = => bit IP address mẫu vị trí tương ứng phải khớp (match) • Wildcard bit = => bit IP address mẫu vị trí tương ứng khơng cần khớp (no match) Wildcard Mask • Minh họa vai trị Wildcard bits: •Wildcard bit = => bit địa tương ứng phải khớp (match) •Wildcard bit = => bỏ qua (không so khớp) bit địa tương ứng Wildcard Mask • Các ví dụ dùng Wildcard mask: Address wildcard mask: 172.30.16.0 0.0.15.255 Wildcard Mask • Các ví dụ dùng Wildcard mask: ▪ 172.30.16.29 0.0.0.0 phải tất bit địa (host) ▪ Có thể viết theo cách khác: host 172.30.16.29 ▪ 0.0.0.0 255.255.255.255 bỏ qua tất bit địa (any) ▪ Tương đương với từ khóa: any Standard Access Lists • Giới thiệu Standard Access Lists: • Là danh sách chứa địa IP làm tiêu chuẩn (criteria) so khớp với Source IP gói tin • Mỗi dịng thơng tin Standard ACL có cột (4 field): • Cột 1: hành động (permit hay deny) khớp (match) điều kiện • Cột 2: IP address mẫu • Cột 3: Wildcard mask – quy định bits IP address mẫu cần so khớp • Standard ACL định danh bằng: • Numbered ACL: sử dụng số từ - 99 • Named ACL: sử dụng “tên” để định danh cho Access-list • Đặt Standard ACL vào interface: • Nên chọn interface phía xa Source Network (gần Destination) • Xét gói tin theo hướng outbound interface 12 Standard Access Lists • Standard ACL commands: • Định nghĩa Standard ACL định danh số, ghi dòng đầu tiên: Router (config)# access-list number {deny | permit} source [wildcard] • Ví dụ: access-list permit 192.168.1.0 0.0.0.255 • Thêm dịng cho Standard ACL có: • Dùng cú pháp lệnh với number ACL có • Ví dụ: R(config)# access-list permit 192.168.2.0 0.0.0.255 • Định nghĩa Standard ACL định danh tên R(config)# ip access-list standard name Router(config-std-nacl)# {deny | permit} source [wildcard] • Ví dụ: R(config)# ip access-list standard Mang-A R(config-std-nac)# permit 192.168.1.0 0.0.0.255 R(config-std-nac)# permit 192.168.2.0 0.0.0.255 Standard Access Lists • Standard ACL commands: • Gán ACL vào interface: • Bước 1: chọn interface cần gán • Bước 2: dùng lệnh ip access-group … Router (config)# interface if-name Router (config-if)# ip access-group access-list-number { in | out } • Ví dụ: R (config)# interface f0/0 R (config-if)# ip access-group out Hoặc: R (config-if)# ip access-group Mang-A out • Lưu ý: mặc định interface có gán ACL deny (drop) tất packet không match với ACL gán • Xem lại ACL có: Router#show access-lists Ứng dụng Standard ACL TKM • Vai trị Std ACL TKM: • Dùng ngăn chặn (hay cho phép) cho phép tất traffic từ mạng khác vào mạng ngang qua Router • Dùng ngăn chặn (hay cho phép) traffic từ mạng đến mạng khác • Dùng ngăn chặn (hay cho phép) hay số máy tính mạng (hay vào) mạng khác • Dùng cấp phép truy cập internet thông qua chế NAT Router • Dùng cho cấp phép (hay ngăn cấm) máy tính (hoặc mạng) sử dụng giao thức Router 15 Standard Access Lists • Các ví dụ sử dụng Standard ACL: • Chỉ cho phép mạng 172.16.0.0 /16 truy cập lẫn nhau: RouterX(config)# access-list permit 172.16.0.0 (implicit deny all - not visible in the list) (access-list deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out 0.0.255.255 Standard Access Lists • Các ví dụ sử dụng Standard ACL • Deny a specific host: RouterX(config)# access-list deny 172.16.4.13 0.0.0.0 RouterX(config)# access-list permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out Standard Access Lists • Các ví dụ sử dụng Standard ACL • Deny a specific subnet: RouterX(config)# access-list deny 172.16.4.0 RouterX(config)# access-list permit any (implicit deny all) (access-list deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group out 0.0.0.255 Extended Access Lists • Cấu trúc gói TCP/IP: • Protocol: loại giao thức: ICMP, IP, TCP, UDP, GRE,… • Source Address, Destination Address: địa IP nguồn đích • Source Port, Destination Port: địa port ứng dụng / dịch vụ Extended Access Lists • Giới thiệu Extended Access Lists: • Là danh sách chứa giao thức, Source IP, Source Port, Destination IP, Destination Port… làm tiêu chuẩn (criteria) so sánh • Mỗi dịng thơng tin Extended ACL có nhiều fields: • Cột 1: hành động (permit hay deny) khớp (match) điều kiện • Cột 2: Protocol: loại giao thức: ICMP, IP, TCP, UDP, GRE,… • Cột & 4: Source IP Address Wildcard mask • Cột 5: Source Port (nếu giao thức TCP hay UDP) • Cột & 7: Destination Address Wildcard mask • Cột 8: Destination Port (nếu giao thức TCP hay UDP) • Nếu trường giao thức ICMP có thêm số phương thức ICMP, như: • echo: gởi gói PING • echo-reply: phản hồi gói PING 20 Extended Access Lists • Giới thiệu Extended Access Lists: • Nếu trường giao thức IP khơng có trường Port • Nếu trường giao thức GRE, OSPF, EIGRP có trường khác tương ứng với giao thức • Một số toán tử dùng cho Port: • eq : (equal) với port Ví dụ: eq 80 • gt : (greater than) lớn port Ví dụ: gt 80 • lt : (less than) nhỏ port Ví dụ: lt 80 • neq : (not equal) khơng với port Ví dụ: neq 80 • range : dãy port Ví dụ: range 3456-3459 21 Extended Access Lists • Định danh cho Extended ACL: • Numbered ACL: sử dụng số từ 100 - 199 • Named ACL: sử dụng “tên” để định danh cho Access-list • Gán Extended ACL vào interface: • Nên chọn interface phía gần Source Network (xa Destination) • Xét gói tin theo hướng inbound interface (nếu đặt ACL phía gần Source Network) 22 Extended Access Lists • Extended ACL commands: • Định nghĩa Extended ACL định danh số, ghi dòng đầu tiên: R(config)# access-list number [wildcard] [port] [wildcard] [port] [log] • Ví dụ: R(config)# access-list 100 permit tcp 10.0.0.0 0.0.0.255 any eq 80 • Định nghĩa Standard ACL định danh tên R(config)# ip access-list extende name Router(config-std-nacl)# {deny | permit} [wildcard] [port] [wildcard] [port] • Ví dụ: R(config)# ip access-list ext Mang-A R(config-std-nac)# permit tcp 10.0.0.0 0.0.0.255 any eq 80 • R(config-std-nac)# permit icmp any any echo Extended Access Lists • Các ví dụ sử dụng Extended ACL • Deny FTP from subnet 172.16.4.0 to subnet 172.16.3.0 out of E0 • Permit all other traffic RouterX(config)# access-list 101 RouterX(config)# access-list 101 RouterX(config)# access-list 101 (implicit deny all) (access-list 101 deny ip 0.0.0.0 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 permit ip any any 255.255.255.255 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group 101 out Extended Access Lists • Các ví dụ sử dụng Extended ACL • Deny Telnet từ subnet 172.16.4.0 khỏi E0 • Permit tất traffic khác RouterX(config)# access-list 101 deny tcp 172.16.4.0 RouterX(config)# access-list 101 permit ip any any (implicit deny all) RouterX(config)# interface ethernet RouterX(config-if)# ip access-group 101 out 0.0.0.255 any eq 23