ACL Giới thiệu chung, ACL gì? : Danh sách câu lệnh dùng để quản lý truy cập (vào, ra) thiết bị với hành động tương ứng cho phép (allow) cấm (deny) Nguyên tắc hoạt động Access list Access-list danh sách gồm nhiều dòng Khi truy xuất, ACL đọc thực dòng từ xuống dưới, dòng chứa thông tin khớp với thông tin gói tin xem xét, dòng thực dòng lại bỏ qua Một nguyên tắc cần lưu ý dòng khai báo tự động thêm vào cuối ACL, nhiên dòng cuối thực ACL dòng ngầm định ‘deny’ tất cả, có nghĩa gói tin không match dòng khai báo ACL, bị deny TCP conversation ports 3 Cơ chế hoạt động - Cơ chế lọc gói tin dựa thông số header gói tin như: IP nguồn, IP đích, Port nguồn, port đích, trạng thái… - Các lệnh (luật) danh sách ACL xử lý theo thứ tự từ xuống dưới, có luật thỏa mãn thoát ACL mà không thực luật phía Ví dụ có danh sách ACL sau: 1-câu lệnh ACL1 2-câu lệnh ACL2 3-câu lệnh ACL3 4-câu lệnh ACL4 5-Deny all Chú ý: Ta thấy câu lệnh thứ (deny all) khớp với tất gói tin, (ta không cấu hình lệnh mặc định có danh sách, không hiển thị dùng lệnh Show access list) Do theo thứ tự thực xuống từ xuống câu lệnh khớp với gói tin vào thực câu lệnh cuối này, điều có nghĩa gói tin bị loại bỏ Do ta cần có câu lệnh cho phép (allow) danh sách ACL - ACL có nhiều ứng dụng, cần phải đặt lên interface, line, giao thức dịch vụ hỗ trợ ACL phải đặt theo hướng vào hay hướng - Mỗi interface, line, giao thức dịch vụ hỗ trợ sử dụng nhiều ACL 4 Một vài đặc điểm ACL? - Các entry ACL đc xử lý theo thứ tự - Cơ chế lọc cách kiểm tra thông số header gói tin - ACL có nhiều ứng dụng, cần phải đặt lên interface, line, giao thức dịch vụ hỗ trợ ACL - Mỗi interface, line, giao thức dịch vụ hỗ trợ sử dụng nhiều ACL - Hỗ trợ tất giao thức giao thức nên có riêng ACL - Cuối ACL có explicit entry [deny all] => cần phải cẩn thận - Không thể xóa, sửa entry numbered ACL Phân loại ACL Có nhiều cách để phân loại ACL, dựa theo tên gọi ACL chia làm number ACL named ACL, dựa chế lọc ACL đc chia thành standard ACL extend ACL; hay dựa độ linh hoạt ACL chia thành static ACL complex ACL… Standard ACL Standard ACL tin ACL đơn giản Chúng đánh số từ 199 number ACL Standard ACL lọc địa nguồn header IP packet, chúng hoạt động lớp mô hình OSI hay lớp internet mô hình TCP/IP Standard ACL đặt theo chiều inbound (vào) outbound (ra) router (ta hiểu vào hay chiều tương đối interface), nhiên tin standard ACL nên đặt gần destination, thường theo chiều outbound Vì standard ACL kiểm tra địa IP nguồn, nên vị trí đặt cần xác chiều gói tin cho phép qua không cho phép qua Cấu hình Standard ACL Format Standard ACL Router(config)#access-list [list number] [permit / deny] [source IP add] [wildcardmask] Trong đó: [list number] đánh số cho standard ACL từ 1-99 [permit / deny]: cho phép không cho phép gói tin qua router [source IP add]: địa IP nguồn gói tin [wildcard mask]: wildcard mask địa IP Đặt Standard ACL lên interface: [list number] đánh số cho standard ACL từ 1-99 [permit / deny]: cho phép không cho phép gói tin qua router [source IP add]: địa IP nguồn gói tin [wildcard mask]: wildcard mask địa IP Trong đó: [list number] Số ACL xác định trước [in / out]: Chọn hướng inbound outbound Extended ACL Extended ACL tin ACL mở rộng, cho phép lọc đa dạng so với standard ACL nên thường sử dụng nhiều Extended ACL đánh số từ 100 đến 199, extended ACL cho phép port number (application), source-destination IP address , protocol nhiều tùy chọn Vì extended ACL hoạt động lớp lớp mô hình OSI Extended ACL thể cấu hình inbound outbound interface, nhiên extended ACL lọc xác source/destination IP Address nên vị trí đặt cần tránh tình trạng hao tổn băng thông mạng không cần thiết gói tin bị discard “lang thang” trước bị deny Người ta thường thực điều cách đặt ACL gần source Extended ACL sử dụng nhiều để thiết lập routing policy router Các entry Extended ACL đa dạng, có khả tùy biến cao, hỗ trợ phòng chống nhiều kiểu công Cấu hình Extended ACL Format Standard ACL: Router(config)#access-list [list number] [permit / deny] [protocol] [source specification] [destination specification] [protocol qualification] [logging] Trong đó: [list number] đánh số cho standard ACL từ 1-99 [permit / deny]: cho phép không cho phép gói tin qua router [protocol]: Giao thức (từ lớp trở lên) gói tin (lớp 3: “ospf”, “eigrp”, ; lớp 4: “tcp”, “udp”; “icmp”; “ip” đại diện giao thức nào) [source specification]: Là chuỗi entry bao gồm [source IP add] [wildcard mask] [source port number (với protocol TCP UDP)] [destination specification]: Là chuỗi entry bao gồm [des IP add] [wildcard mask] [des port number (với protocol TCP UDP)] [protocol qualification]: Các tùy chọn hỗ trợ phụ thuộc vào entry [protocol], tăng cường tính bảo mật thực tác vụ lọc liệu đặc biệt Nếu [protocol] TCP UDP [protocol qualification] = [optional port] [port number] Trong đó: [optional port] khoảng port cần kiểm tra [port number] xác port làm mốc cho [optional port] - Nếu [protocol] ip: router match tất giao thức - Nếu [protocol] giao thức định tuyển (ospf, eigrp, ) ??? [logging]: Ghi lại thông tin gói tin match entry ACL Inbound hay Outbound Khi nhắc tới lọc theo chiều (inbound outbound) phải gắn liền với interface router, interface cho phép nhiều ACL nên cho phép lọc nhiều chiều tùy vào ACL -> Inbound: Các tin hướng vào interface -> Outbound: Các tin hướng từ interface Lọc inbound tiêu tốn tài nguyên CPU hơn, gói tin lọc trước forward; ngược lại, lọc outbound tốn nhiều thời gian gói tin lọc sau forward Tuy nhiên chiều lọc quan trọng đặt xác yêu cầu Named Access Control List Có thể standard ACL extended ACL đặt tên ký tự (vì thế, nhiều trường hợp named ACL giúp admin quản lý danh sách ACL hiệu hơn) Vì nên không giới hạn số lượng ACL Cho phép xóa sửa entry ACL, entry đặt cuối Một vài dạng ACL (reflexive ACL) yêu cầu cấu hình với named ACL Cấu hình named ACL Router(config)ip access-list [standard / extended] [name] Router(config-std-nacl)#[permit / deny] … Trong đó: [standard / extended] loại ACLs [name] tên đặt cho ACLs [permit / deny]… cấu hình entry cho named ACLs: Hoàn toàn Tương tự cấu hình standard / extended ACLs kể từ entry [permit /deny] [...]... bản Named Access Control List Có thể là standard ACL hoặc extended ACL nhưng được đặt tên bằng ký tự (vì thế, trong nhiều trường hợp named ACL giúp admin quản lý danh sách ACL hiệu quả hơn) Vì thế nên không giới hạn số lượng ACL Cho phép xóa sửa entry trong ACL, entry mới sẽ đặt ở cuối Một vài dạng ACL (reflexive ACL) yêu cầu cấu hình với named ACL Cấu hình named ACL Router(config)ip access- list [standard