Access Control List - ACL

Access Control List - ACL

THỰC HÀNH Access Control List - ACL

1 Mục đích: làm quen với ACLs (Access Control List) và công dụng của nó.

2 Lý thuyết cơ bản: Access-list là một danh sách gồm các dòng hướng dẫn có thứ tự để cung cấp hay

ngăn chận luồng gói dữ liệu di chuyển trên mạng Access-list có công dụng ngăn chận các cuộc tấn công

từ ngoài vào, cách ly lưu lượng giữa các đơn vị trong công ty, phân bố tải Trong một ACL có thể có nhiều câu lệnh, những câu lệnh có cùng số thì nằm trong cùng một danh sách ACL

a Standard Access-list: (ACL cơ bản) chỉ kiểm tra địa chỉ đích, có cú pháp:

access-list [#] [permit | deny] [source-address | keyword any] [source mask]

[#]: từ 1 – 99

Trong source mask, bit 0 có nghĩa là “trùng hợp chính xác” và bit 1 có nghĩa là “không cần xét”

Áp đặt access-list vào một giao tiếp trên Router bằng lệnh:

ip access-group [access-list-number] [in | out]

 Chọn một host đặc biệt: tất cả các bit trong mặt nạ đều là zero (mặc định)

 Chọn toàn bộ mạng con: M=A-B, với M là mặt nạ đại diện (wildcard mask), A=255.255.255.255,

B là mặt nạ mạng con (subnet mask) Ví dụ: 255.255.255.255-255.255.255.0=0.0.0.255

 Chọn một dãy IP: lấy địa chỉ IP lớn trừ đi địa chỉ IP nhỏ hơn Ví dụ: lấy dãy 110.30.91.255 cho đến 110.30.28.0 -> 110.30.91.255 – 110.30.28.0 = 0.0.63.255

 Chọn tất cả: any

b Extanded Access-list: (ACL mở rộng) kiểm tra địa chỉ nguồn, địa chỉ đích của gói dữ liệu, kiểm tra

cả giao thức và số port Ví dụ một ACL mở rộng có thể cho phép lưu lượng của email từ cổng Fa0/0

ra cổng S0/0 và từ chối lưu lượng của web và ftp Số ACL của ACL mở rộng từ 100-199

Ví dụ: access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet

access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp

Áp đặt access-list vào giao tiếp trên Router tương tự như ACL cơ bản

3 Thông tin liên quan

a Thông tin kết nối cho topo mạng thực hành ACL

Thiết bị Model Tuỳ chọn Cổng trên thiết bị Nối đến (thiết bị, cổng)

Router 1 3640 Slot 1: 4 Ethernet

Slot 2: 4 Serial Slot 3: 1 Bri

E0/0 E0/1 S1/0 S1/1 Bri 2/0

Router 2, E0 Router 3, E0 Router 4, S0 Router 5, S0 Router 2, Bri0

Bri0

Router 1, E0/0 Router 1, Bri 2/0

S0 SW 1, E0/1Router 1, S1/0

S0 S1 (Frame Relay)

SW 2, Fast Ethernet 0/26 Router 1, S1/1

Router 6, S0 Router 6 2610 Wan 1: 1 Serial

Wan 2: 2 Serial E0S0 (Frame Relay) PC2, E0Router 5, S1

E0/2 Router 4, E0PC1, E0

b Mô hình mạng thiết kế với Boson Network Designer (lưu topo với tên là ACL.top)

c Thông số cấu hình địa chỉ IP và cho phép giao thức RIP

Ethernet 0/0

Hay 0

42.35.2.1 255.255.255.240

42.35.2.2 255.255.255.240 Serial 1/0

RIP Cho phép trên cả hai giao tiếp

E0/0 và S1/0 Cho phép trên Ethernet 0 Cho phép trên Serial 0

4 Thực hành

 Bước 0: Thiết kế mạng bằng Boson Network Designer, lưu với tên là ACL.top và mở file này trong Boson Netsim

a Cấu hình địa chỉ IP cho các giao tiếp trên Router

 Bước 1:

Đăng nhập vào Router 1, đổi tên thành Router1

Gán địa chỉ IP 42.35.2.1 255.255.255.240 cho giao tiếp Ethernet 0/0

Gán địa chỉ IP 42.35.2.17 255.255.255.240 cho giao tiếp Serial 1/0

Đăng nhập vào Router 2, đổi tên thành Router2

Gán địa chỉ IP 42.35.2.2 255.255.255.240 cho giao tiếp Ethernet 0

 Bước 3: từ Router2 thực hiện ping giao tiếp Ethernet 0/0 của Router1 để kiểm tra kết nối.

Router2#ping 42.35.2.1

 Bước 4:

Đăng nhập vào Router 4, đổi tên thành Router4

Gán địa chỉ IP 42.35.2.18 255.255.255.240 cho giao tiếp Serial 0

Từ Router4 thực hiện ping giao tiếp Serial 0 trên Router1 (42.35.2.17) để kiểm tra

b Định tuyến RIP cho mạng

 Bước 5: thực hiện truyền thông giữa Router2 và Router4 bằng cách dùng RIP làm giao thức định tuyến Cho phép RIP trên Router1 và khai báo mạng cho Ethernet 0/0 và Serial 1/0

 Bước 6: cho phép RIP trên Router2 và khai báo mạng cho giao tiếp Ethernet 0

 Bước 7: cho phép RIP trên Router4 và khai báo mạng cho giao tiếp Serial 0

 Bước 8: Phải đảm bảo có thể ping được đến giao tiếp Ethernet trên Router2 (42.35.2.2) Nếu không được phải kiểm tra lại các bước đã thực hiện

c Tạo danh sách truy nhập

 Bước 9: tạo danh sách truy nhập chuẩn (Standard ACL) có thể chận Router4 ping đến Router2 Tạo một access-list chỉ chận địa chỉ IP 42.35.2.18 kèm theo lệnh access-list 1 permit any Có 3 cách

để thực hiện:

o Cách 1:

Router2(config)#access-list 1 deny host 42.35.2.18 Router2(config)#access-list 1 permit any

o Cách 2:

Router2(config)#access-list 1 deny 42.35.2.18 0.0.0.0 Router2(config)#access-list 1 permit any

o Cách 3:

Router2(config)#access-list 1 deny 42.35.2.18 Router2(config)#access-list 1 permit any

 Bước 10: đặt access-list vừa tạo vào giao tiếp Ethernet 0 Chú ý phân biệt giữa hai tuỳ chọn “In”

và “Out” Trong trường hợp này câu lệnh cần thực hiện là “IP access-group 1 in”

Router2(config)#interface ethernet0

Router2(config-if)#ip access-group 1 in

Router2(config-if)#exit

d Kiểm định lại các Standard Access List

 Bước 11: tại Router4, thử ping đến giao tiếp Ethernet 0 của Router2 (42.35.2.2) Nếu thấy

“U.U.U” nghĩa là không thể vươn tới (U: Unreachable), ACL hoạt động tốt

 Bước 12: đăng nhập vào Router2 để kiểm định các access-list chạy trên các giao tiếp, hiển thị cấu

Xem các access-list nào được đặt vào giao tiếp nào: Router2#show ip interface

Xem các access-list được tạo ra trên router: Router2#show access-list

e Tạo các Access-List mở rộng ( Extended Access List)

- Chỉ cho phép telnet từ mạng con nối đến serial 1/0 của Router1 đi vào Router1

- Cho phép mọi thứ từ mạng con trên Ethernet 0/0 của Router1 đi đến bất cứ nơi nào

 Bước 13: huỷ access-list đã tạo trên giao tiếp E0 của Router2 bằng lệnh “no ip access-group 1”

Router2>en

Router2#conf t

Router2(config)#interface ethernet0

Router2(config-if)#no ip access-group 1 in

 Bước 14: chuyển đến Router1

Router1#conf t

Router1(config)#

 Bước 15: chỉ cho phép telnet từ mạng con 42.35.2.16 bằng lệnh access-list 101 permit TCP 42.35.2.16 0.0.0.15 any eq telnet

Router1(config)#access-list 101 permit tcp 42.35.2.16 0.0.0.15 any eq telnet

 Bước 16: cho phép bất cứ thứ gì từ mạng con 42.35.2.0

Router1(config)#access-list 102 permit ip 42.35.2.0 0.0.0.15 any

 Bước 17: cần đặt access-list 101 vào giao tiếp cho phù hợp (cổng Serial 1/0)

Router1(config)#interface serial 1/0

Router1(config-if)#ip access-group 101 in

Router1(config-if)#exit

 Bước 18: cần đặt access-list 102 vào giao tiếp cho phù hợp (cổng Ethernet 0/0)

Router1(config)#interface ethernet 0/0

Router1(config-if)#ip access-group 102 in

Router1(config-if)#exit

 Bước 19: vào Router4, ping thử đến giao tiếp Serial 1/0 (42.35.2.17) trên Router1, nếu không thể ping đến giao tiếp này thì access-list đã hoạt động tốt

 Bước 20: kiểm tra khả năng telnet bằng cách vào Router1, cho phép telnet và cài mật khẩu là Camry:

Router1#conf t

Router1(config)#line vty 0 4

Router1(config-line)#login

Router1(config-line)#password Camry

Router1(config-line)#exit

 Bước 21: quay trở lại Router4 và thử telnet vào Router1

Router4#telnet 42.35.2.17

Nếu telnet được thì dấu nhắc của Router4 sẽ thay đổi thành Router1# Nhấn tổ hợp phím control-shift-6-x để trở lại Router4 rồi gõ “disconnect 1” để kết thúc kết nối telnet đến Router1

 Bước 22: đăng nhập Router2

o ping thử đến giao tiếp Serial 0 của Router4 (42.35.2.18) (không ping được)

o ping đến giao tiếp Ethernet 0/0 của Router1 (42.35.2.1) (ping được)

 Bước 23: vào Router1 và thực hiện các lệnh “show running-config”, “show ip interfaces” và “show access-lists” Quan sát