Đang tải... (xem toàn văn)
Access Control List - ACL
THỰC HÀNH Access Control List - ACL1. Mục đích: làm quen với ACLs (Access Control List) và công dụng của nó.2. Lý thuyết cơ bản: Access-list là một danh sách gồm các dòng hướng dẫn có thứ tự để cung cấp hay ngăn chận luồng gói dữ liệu di chuyển trên mạng. Access-list có công dụng ngăn chận các cuộc tấn công từ ngoài vào, cách ly lưu lượng giữa các đơn vị trong công ty, phân bố tải. Trong một ACL có thể có nhiều câu lệnh, những câu lệnh có cùng số thì nằm trong cùng một danh sách ACL.a. Standard Access-list: (ACL cơ bản) chỉ kiểm tra địa chỉ đích, có cú pháp:access-list [#] [permit | deny] [source-address | keyword any] [source mask][#]: từ 1 – 99Trong source mask, bit 0 có nghĩa là “trùng hợp chính xác” và bit 1 có nghĩa là “không cần xét”.Áp đặt access-list vào một giao tiếp trên Router bằng lệnh:ip access-group [access-list-number] [in | out]• Chọn một host đặc biệt: tất cả các bit trong mặt nạ đều là zero (mặc định).• Chọn toàn bộ mạng con: M=A-B, với M là mặt nạ đại diện (wildcard mask), A=255.255.255.255, B là mặt nạ mạng con (subnet mask). Ví dụ: 255.255.255.255-255.255.255.0=0.0.0.255• Chọn một dãy IP: lấy địa chỉ IP lớn trừ đi địa chỉ IP nhỏ hơn. Ví dụ: lấy dãy 110.30.91.255 cho đến 110.30.28.0 -> 110.30.91.255 – 110.30.28.0 = 0.0.63.255.• Chọn tất cả: anyb. Extanded Access-list: (ACL mở rộng) kiểm tra địa chỉ nguồn, địa chỉ đích của gói dữ liệu, kiểm tra cả giao thức và số port. Ví dụ một ACL mở rộng có thể cho phép lưu lượng của email từ cổng Fa0/0 ra cổng S0/0 và từ chối lưu lượng của web và ftp. Số ACL của ACL mở rộng từ 100-199.Ví dụ: access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnetaccess-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftpÁp đặt access-list vào giao tiếp trên Router tương tự như ACL cơ bản.3. Thông tin liên quana. Thông tin kết nối cho topo mạng thực hành ACLThiết bị Model Tuỳ chọn Cổng trên thiết bị Nối đến (thiết bị, cổng)Router 1 3640 Slot 1: 4 EthernetSlot 2: 4 SerialSlot 3: 1 BriE0/0E0/1S1/0S1/1Bri 2/0Router 2, E0Router 3, E0Router 4, S0Router 5, S0Router 2, Bri0Router 2 2501 E0Bri0Router 1, E0/0Router 1, Bri 2/0Router 3 2501 E0 Router 1, E0/1Router 4 2501 E0S0SW 1, E0/1Router 1, S1/0Router 5 2501 E0S0S1 (Frame Relay)SW 2, Fast Ethernet 0/26Router 1, S1/1Router 6, S0Router 6 2610 Wan 1: 1 SerialWan 2: 2 SerialE0S0 (Frame Relay)PC2, E0Router 5, S1SW1 1912 E0/1E0/2Router 4, E0PC1, E0SW2 1912 Fast Ethernet 0/1 Router 5, E0PC1 E0 SW1, E0/2PC2 E0 Router 6, E01 b. Mô hình mạng thiết kế với Boson Network Designer (lưu topo với tên là ACL.top)c. Thông số cấu hình địa chỉ IP và cho phép giao thức RIPGiao tiếp /RIP Router 1 Router 2 Router 4Ethernet 0/0Hay 042.35.2.1255.255.255.24042.35.2.2255.255.255.240Serial 1/0Hay 042.35.2.17255.255.255.24042.35.2.18255.255.255.240RIP Cho phép trên cả hai giao tiếp E0/0 và S1/0Cho phép trên Ethernet 0 Cho phép trên Serial 04. Thực hành• Bước 0: Thiết kế mạng bằng Boson Network Designer, lưu với tên là ACL.top và mở file này trong Boson Netsim.a. Cấu hình địa chỉ IP cho các giao tiếp trên Router• Bước 1: Đăng nhập vào Router 1, đổi tên thành Router1. Gán địa chỉ IP 42.35.2.1 255.255.255.240 cho giao tiếp Ethernet 0/0. Gán địa chỉ IP 42.35.2.17 255.255.255.240 cho giao tiếp Serial 1/0.• Bước 2:Đăng nhập vào Router 2, đổi tên thành Router2. Gán địa chỉ IP 42.35.2.2 255.255.255.240 cho giao tiếp Ethernet 0. 2 • Bước 3: từ Router2 thực hiện ping giao tiếp Ethernet 0/0 của Router1 để kiểm tra kết nối.Router2#ping 42.35.2.1• Bước 4: Đăng nhập vào Router 4, đổi tên thành Router4. Gán địa chỉ IP 42.35.2.18 255.255.255.240 cho giao tiếp Serial 0. Từ Router4 thực hiện ping giao tiếp Serial 0 trên Router1 (42.35.2.17) để kiểm tra.b. Định tuyến RIP cho mạng• Bước 5: thực hiện truyền thông giữa Router2 và Router4 bằng cách dùng RIP làm giao thức định tuyến. Cho phép RIP trên Router1 và khai báo mạng cho Ethernet 0/0 và Serial 1/0.• Bước 6: cho phép RIP trên Router2 và khai báo mạng cho giao tiếp Ethernet 0.• Bước 7: cho phép RIP trên Router4 và khai báo mạng cho giao tiếp Serial 0. • Bước 8: Phải đảm bảo có thể ping được đến giao tiếp Ethernet trên Router2 (42.35.2.2). Nếu không được phải kiểm tra lại các bước đã thực hiện.c. Tạo danh sách truy nhập• Bước 9: tạo danh sách truy nhập chuẩn (Standard ACL) có thể chận Router4 ping đến Router2. Tạo một access-list chỉ chận địa chỉ IP 42.35.2.18 kèm theo lệnh access-list 1 permit any. Có 3 cách để thực hiện:o Cách 1:Router2(config)#access-list 1 deny host 42.35.2.18Router2(config)#access-list 1 permit anyo Cách 2:Router2(config)#access-list 1 deny 42.35.2.18 0.0.0.0Router2(config)#access-list 1 permit anyo Cách 3:Router2(config)#access-list 1 deny 42.35.2.18Router2(config)#access-list 1 permit any• Bước 10: đặt access-list vừa tạo vào giao tiếp Ethernet 0. Chú ý phân biệt giữa hai tuỳ chọn “In” và “Out”. Trong trường hợp này câu lệnh cần thực hiện là “IP access-group 1 in”.Router2(config)#interface ethernet0Router2(config-if)#ip access-group 1 inRouter2(config-if)#exit3 d. Kiểm định lại các Standard Access List• Bước 11: tại Router4, thử ping đến giao tiếp Ethernet 0 của Router2 (42.35.2.2). Nếu thấy “U.U.U” nghĩa là không thể vươn tới (U: Unreachable), ACL hoạt động tốt.• Bước 12: đăng nhập vào Router2 để kiểm định các access-list chạy trên các giao tiếp, hiển thị cấu hình hoạt động: Router2#show running-configXem các access-list nào được đặt vào giao tiếp nào: Router2#show ip interfaceXem các access-list được tạo ra trên router: Router2#show access-liste. Tạo các Access-List mở rộng ( Extended Access List)- Chỉ cho phép telnet từ mạng con nối đến serial 1/0 của Router1 đi vào Router1.- Cho phép mọi thứ từ mạng con trên Ethernet 0/0 của Router1 đi đến bất cứ nơi nào.• Bước 13: huỷ access-list đã tạo trên giao tiếp E0 của Router2 bằng lệnh “no ip access-group 1”Router2>enRouter2#conf tRouter2(config)#interface ethernet0Router2(config-if)#no ip access-group 1 in• Bước 14: chuyển đến Router1Router1#conf tRouter1(config)#• Bước 15: chỉ cho phép telnet từ mạng con 42.35.2.16 bằng lệnh access-list 101 permit TCP 42.35.2.16 0.0.0.15 any eq telnet.Router1(config)#access-list 101 permit tcp 42.35.2.16 0.0.0.15 any eq telnet• Bước 16: cho phép bất cứ thứ gì từ mạng con 42.35.2.0Router1(config)#access-list 102 permit ip 42.35.2.0 0.0.0.15 any• Bước 17: cần đặt access-list 101 vào giao tiếp cho phù hợp (cổng Serial 1/0)Router1(config)#interface serial 1/0Router1(config-if)#ip access-group 101 inRouter1(config-if)#exit• Bước 18: cần đặt access-list 102 vào giao tiếp cho phù hợp (cổng Ethernet 0/0)Router1(config)#interface ethernet 0/0Router1(config-if)#ip access-group 102 inRouter1(config-if)#exit• Bước 19: vào Router4, ping thử đến giao tiếp Serial 1/0 (42.35.2.17) trên Router1, nếu không thể ping đến giao tiếp này thì access-list đã hoạt động tốt.• Bước 20: kiểm tra khả năng telnet bằng cách vào Router1, cho phép telnet và cài mật khẩu là Camry:Router1#conf tRouter1(config)#line vty 0 4Router1(config-line)#loginRouter1(config-line)#password CamryRouter1(config-line)#exit• Bước 21: quay trở lại Router4 và thử telnet vào Router1Router4#telnet 42.35.2.17Nếu telnet được thì dấu nhắc của Router4 sẽ thay đổi thành Router1#. Nhấn tổ hợp phím control-shift-6-x để trở lại Router4 rồi gõ “disconnect 1” để kết thúc kết nối telnet đến Router1.• Bước 22: đăng nhập Router2 o ping thử đến giao tiếp Serial 0 của Router4 (42.35.2.18) (không ping được)o ping đến giao tiếp Ethernet 0/0 của Router1 (42.35.2.1) (ping được)4 • Bước 23: vào Router1 và thực hiện các lệnh “show running-config”, “show ip interfaces” và “show access-lists”. Quan sát.5 . THỰC HÀNH Access Control List - ACL1 . Mục đích: làm quen với ACLs (Access Control List) và công dụng của nó.2. Lý thuyết cơ bản: Access- list là một danh. 0.0.0.0Router2(config) #access- list 1 permit anyo Cách 3:Router2(config) #access- list 1 deny 42.35.2.18Router2(config) #access- list 1 permit any• Bước 10: đặt access- list vừa