Giáo trình công nghệ và thiết bị mạng Trình bày các kiến thức tổng quan và cơ bản nhất về hệ thống mạng máy tính Giới thiệu các công nghệ và thiết bị được sử dụng trong hệ thống mạng máy tính Các nội dung cơ bản về mạng Internet, mô hình tham chiếu OSI và giao thức TCPIP Cách cấu hình các thiết bị mạng cơ bản
MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG 1: GIỚI THIỆU VỀ MẠNG DIỆN RỘNG 1.1 Giới thiệu WAN 1.2.1 Lớp vật lý WAN 1.2.2 Các kết nối WAN nối tiếp 1.2.3 Router kết nối nối tiếp 1.2.4 Router kết nối ISDN BRI 11 1.2.5 Router kết nối DSL .11 1.2.6 Thực kết nối console .12 1.3 Router WAN .12 1.3.1 Đặc điểm vật lý Router 13 1.3.2 Quá trình khởi động Router .17 1.3.3 Vai trò Router WAN .24 Chương 2: CẤU HÌNH ROUTER 25 2.1 Khái niệm cấu hình Router .25 2.2 Các chế độ cấu hình 26 2.3 Cấu hình Router .28 2.3.1 Cấu hình đặt tên, tạo Banner 29 2.3.2 Cấu hình bảo mật .30 2.3.3 Cấu hình thơng số cổng giao tiếp 32 2.3.4 Một số lệnh cần biết cấu hình Router 32 2.4 Khái niệm bảng định tuyến 34 2.4.1 Khái niệm định tuyến tĩnh định tuyến động 34 2.4.1 Xây dựng bảng định tuyến .39 2.4.2 Xác định đường 40 CHƯƠNG 3: ĐỊNH TUYẾN TĨNH 44 3.1.Giới thiệu 44 3.1.1 Khái niệm 44 3.1.2 Hoạt động định tuyến tĩnh .44 3.1.3 Các quy tắc sử dụng định tuyến tĩnh 47 3.2 Xác định mạng kết nối trực tiếp .56 3.2.1 Xác định thủ công 56 3.2.2 Xác định sử dụng giao thức CDP 56 3.3 Xác định tham số Next-Hop exit-Interface 59 3.3.1 Xác định tham số Next-Hop 59 3.3.2 Xác định tham số exit-Interface .60 3.4 Cấu hình tham số định tuyến tĩnh 60 3.4.1 Cấu hình thơng thường 60 3.4.2 Kỹ thuật tổng hợp đường 61 3.4.3 Kỹ thuât đường mặc định 65 3.4.4 Kiểm tra mạng xử lý cố 67 CHƯƠNG 4: ĐỊNH TUYẾN ĐỘNG 70 4.1 Giới thiệu định tuyến động 70 4.1.1 Khái niệm 70 4.1.2 Hoạt động .70 4.2 Phân loại giao thức định tuyến động 70 4.2.1 Định tuyến theo vector khoảng cách 72 4.2.2 Định tuyến theo trạng thái đường liên kết 74 4.3 Một số khái niệm định tuyến động 78 4.3.1 Trọng số đường (metric) 78 4.3.2 Khoảng cách quản trị (AD) 80 4.3.3 Hệ thống tự quản (AS) 81 CHƯƠNG 5: GIAO THỨC ĐỊNH TUYẾN THEO VECTOR KHOẢNG CÁCH .83 5.1 Hoạt động 83 5.1.1 Cập nhật thông tin định tuyến 83 5.1.2 Lỗi định tuyến lặp 83 5.1.3 Kỹ thuật tránh định tuyến lặp 85 5.2 Giao thức định tuyến RIPv1 88 5.2.1 Giới thiệu .88 5.2.2 Hoạt động 89 5.3 Kỹ thuật VLSM CIDR 90 5.3.1 Kỹ thuật VLSM .90 5.3.2 Kỹ thuật CIDR .99 5.4 Giao thức định tuyến RIPv2 .106 5.5 Giao thức định tuyến EIGRP 110 5.6 Cấu trúc liệu EIGRP .123 CHƯƠNG 6: GIAO THỨC ĐỊNH TUYẾN THEO TRẠNG THÁI 143 6.1 Hoạt động 143 6.2 Giao thức định tuyến OSPF 144 6.2.1 Tổng quát OSPF 144 6.2.2 Thuật ngữ OSPF 145 6.2.3 So sánh OSPF với giao thức định tuyến theo vectơ khoảng cách 149 6.2.4 Thuật toán chọn đường ngắn 151 6.2.5 Các loại mạng OSPF 153 6.2.6 Giao thức OSPF Hello 155 6.2.7 Các bước hoạt động OSPF 156 6.2.8 Cấu hình OSPF đơn vùng 160 CHƯƠNG 7: DANH SÁCH TRUY CẬP ACLs .168 7.1 Cơ danh sách kiểm tra truy cập .168 7.1.1 ACL gì? 168 7.1.2 ACLs làm việc 170 7.1.3 Tạo ACLs .171 7.1.4 Chức wildcard mask .173 7.1.7 Kiểm tra ACLs .174 7.2 Danh sách kiểm tra truy cập .175 7.2.1 ACLs 175 7.2.2 ACLs mở rộng .176 7.2.3 Đặt tên ACLs .177 7.2.4 Vị trí đặt ACLs 177 7.2.5 Bức tường lửa 178 7.2.6 Giới hạn truy cập vào đường VTY Router 179 TÀI LIỆU THAM KHẢO 181 LỜI NÓI ĐẦU Môn học Công nghệ & Thiết bị mạng tập trung vào trình bày kiến thức mạng WAN, công nghệ mạng WAN, kỹ thuật subneting (VLSM) tổng hợp tuyến (CIDR); giao thức định tuyến: Static Routing, Dynamic Routing (RIP, EIGRP, OSPF đơn vùng) Hơn nữa, tài liệu tập trung sâu vào thiết bị mạng lớp Router, bao gồm việc nghiên cứu thành phần cấu tạo Router, cách cài đặt, thiết lập cấu hình cho Router, cách triển khai, gỡ lỗi giao thức định tuyến Router Để đạt hiệu tốt cho môn học, sinh viên cần thực hành Lab tập thực hành kèm tài liệu thầy cô hướng dẫn Mọi thơng tin đóng góp nội dung tài liệu xin gửi địa chỉ: hieplh.it07@gmail.com vhluong@ictu.edu.vn Xin chân thành cảm ơn! Thái Nguyên, ngày 28/11/2013! CHƯƠNG 1: GIỚI THIỆU VỀ MẠNG DIỆN RỘNG 1.1 Giới thiệu WAN WAN (Wide Area Network) mạng thiết lập để liên kết máy tính hai hay nhiều khu vực khác cách xa mặt địa lý Các WAN kết nối mạng người sử dụng qua phạm vi địa lý rộng lớn, nên chúng mở khả cung ứng hoạt động thông tin cự ly xa cho doanh nghiệp Hình 1.1 Mơ hình mạng WAN kết nối chi nhánh mạng doanh nghiệp Sử dụng WAN cho phép máy tính, máy in thiết bị khác LAN chia sẻ chia sẻ với vị trí xa WAN cung cấp truyền thông tức thời qua miền địa lý rộng lớn Khả truyền thông điệp đến nơi đâu giới tạo khả truyền thông tương tự dạng truyền thông hai người vị trí địa lý Phần mềm chức cung cấp truy xuất thông tin tài nguyên thời gian thực cho phép hội họp tổ chức từ xa Thiết lập mạng diện rộng tạo lớp nhân cơng gọi telecommuter, người làm việc mà rời khỏi nhà Các WAN thiết kế để làm công việc sau: • Hoạt động qua vùng tách biệt mặt địa lý • Cho phép người sử dụng có khả thơng tin thời gian thực với người sử dụng khác • Cung cấp kết nối liên tục tài nguyên xa vào dịch vụ cục • Cung cấp Email, www, FTP dịch vụ thương mại điện tử Các công nghệ WAN phổ biến bao gồm: • Modem • ISDL • DSL • Frame Relay • Các đường truyền dẫn số theo chuNn Bắc Mỹ châu Âu T1, E1, T3, E3 • Mạng quang đồng SON ET Các thiết bị WAN bao gồm: Hình 1.2 Các thiết bị kết nối WAN 1.2 Các thiết bị kết nối WAN 1.2.1 Lớp vật lý WAN Các thực thực tế lớp vật lý thay đổi tùy vào khoảng cách thiết bị đến dịch vụ, tốc độ than dịch vụ Các kết nối nối tiếp dùng để hỗ trợ dịch vụ WAN đường dây thuê riêng chạy PPP hay Frame Relay Tốc độ kết nối dải từ 2400 bps đến T1 tốc độ 1,544 Mbps E1 tốc độ 2,048 Mbps Hình 1.3 Các thiết bị lớp vật lý mạng WAN ISDN cung cấp dịch vụ quay số theo yêu cầu Một dịch vụ giao tiếp tốc độ (BRI) cấu thành từ hai kênh truyền dẫn 64 kbps (kênh B)cho số liệu kênh delta tốc độ 16kbps (kênh D) dùng cho báo hiệu tác vụ quản lý liên kết khác PPP thường dùng để truyền dẫn số liệu qua kênh D Với tăng nhu cầu dịch vụ tốc độ cao, băng thông rộng khu vực dân cư, kết nối DSL modem cáp phổ dụng 1.2.2 Các kết nối WAN nối tiếp Trong truyền thông đường dài, WAN dùng dạng đường dẫn nối tiếp Đây trình truyền bit số liệu nối tiếp qua kênh đơn Tiến trình cung ứng truyền thông đường dài tin cậy dùng dải tần số ánh sáng hay điện tử đặc biệt Các tần số đo theo số chu kỳ giây biểu diễn theo Hz Kích thước dải tần xem băng thông đo theo số bit truyền giây Đối với Cisco Router, kết nối vật lý phía khách hàng cung cấp hay hai loại kết nối nối tiếp N ếu kết nối nối trực tiếp với nhà cung cấp dịch vụ hay thiết bị cung cấp tín hiệu định thời CSU/DSU (Channel Service Unit/Data Service Unit), Router thiết bị đầu cuối (DTE) dùng cáp DTE Tuy nhiên, có số trường hợp mà Router cục yêu cầu cung cấp tín hiệu định thời dùng cáp DCE Hình 1.4 Các kết nối WAN nối tiếp 1.2.3 Router kết nối nối tiếp Các Router chịu trách nhiệm định tuyến gói liệu từ nguồn đến đích LAN để cung cấp kết nối đến WAN Trong môi trường LAN Router chứa broadcast, cung cấp dịch vụ phân dải địa cục ARP, RARP chia mạng cách dùng cấu trúc mạng Để cung ứng dịch vụ Router phải kết nối LAN WAN Hình 1.5 Kết nối nối tiếp DTE DCE Nhằm xác định loại cáp, cần phải xác định đầu nối DTE hay DCE DTE điểm thiết bị người sử dụng liên kết WAN DCE điểm thông thường chịu trách nhiệm chuyển giao số liệu đến nhà cung cấp dịch vụ Khi nối cáp loại nối tiếp cho Router, Router có port cố định hay gắn linh động (modular port) Các giao tiếp Router cố định đánh nhãn theo loại port số port Hình 1.6 Các giao tiếp cố định Các giao tiếp Router linh động ghi nhãn theo loại port, khe (slot) số port Khe vị trí module Để cấu hình port card rời, cần phải giao tiếp cách dùng cú pháp “port type slot number/port number” Dùng nhãn “serial 0/1” giao tiếp nối tiếp, số khe nơi module gắn vào port tham chiếu đến Hình 1.7 Các giao tiếp serial port dạng module 10 Tham số key-id số danh định có giá trị từ đến 255 Tham số key phần cho khai báo mật mã, dài đến 16 ký tự Các Router láng giềng bắt buộc phải có số key-id cà giá trị key Sau cấu hình mật mã MD5 xong cần bật chế độ xác minh message-digest OSPF: Router(config-Router)#area area-id authentication message-digest Hình 6.11.b Cấu hình chế xác minh MD5 cho OSPF Từ mật mã nội dung gói liệu, thuật tốn mẫt mã MD5 tạo thơng điệp gắn thêm vào gói d ữ liệu Router nhận g ói liệu dùng mật mã mà thân Router có kết hợp v ới gói liệu nhận để tạo thông điệp Nếu kết hai thơng điệp giống có nghĩa là Router nhận gói liệu từ nguồn nội dung gói liệu khơng bị can thiệp Cấu trúc phần header gói OSPF hình 2.3.4.a Trường authentication type cho biết chế xác minh chế Nếu chế xác minh message-digest trường authentication data có chứa key-id thông số cho biết chiều dài phần thơng điệp gắn thêm vào gói liệu Phần thơng điệp giống dấu làm giả 167 CHƯƠNG 7: DANH SÁCH TRUY CẬP ACLs 7.1 Cơ danh sách kiểm tra truy cập 7.1.1 ACL gì? ACLs danh sách điều kiện áp dụng cho lưu lượng qua cổng Router Danh sách cho phép Router biết loại gói chấp nhận hay bị từ chối dựa điều kiện cụ thể ACL sử dụng để quản lý lưu lượng mạng bảo vệ truy cập vào hệ thống mạng ACL tạo cho tất giao thức định tuyến IP (Internet Protocol) IPX (Internetwork Packet Exchange) ACL cấu hình Router để kiểm tra việc truy cập mạng hay subnet Hình 7.1 Ví dụ ACL ACL lọc tải cách kiểm tra việc chuyển gói định tuyến xong chặn gói vào cổng Router Router kiểm tra gói để định chuyển gói hay hủy bỏ gói tùy vào điều kiện ACL như: địa nguồn đích, giao thức số port lớp 168 Hình 7.2 Cấu trúc gói liệu Một số nguyên nhân để tạo ACLs: Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động mạng Ví dụ, cách giới hạn lưu lượng truyền video, ACLs làm giảm tải đáng kể làm tăng hiệu suất mạng Kiểm tra dòng lưu lượng ACLs giới hạn thông tin truy cập định tuyến Cung cấp chế độ bảo vệ truy cập ACLs cho phép host truy cập vào phần hệ thống mạng ngăn khơng cho host khác truy cập vào khu vực Quyết định loại lưu lượng phép cho qua hay chặn lại cơng Router Ví dụ, lưu lượng Email phép cho qua tất lưu lượng telnet bị chặn lại Cho phép người quản trị mạng điều khiển phạm vi mà Client quyền truy cập vào hệ thống mạng Kiểm tra host phép hay từ chối khơng cho truy cập vào khu vực hệ thống N ếu Router khơng có cấu hình ACLs tất gói chuyển đến vị trí hệ thống mạng 169 7.1.2 ACLs làm việc Mỗi ACLs danh sách câu lệnh xác định gói liệu chấp nhận hay từ chối chiều hay chiều vào cổng Router Mỗi câu lệnh có điều kiện kết chấp nhận hay từ chối tương ứng Nếu thoả điều kiện câu lệnh định chấp nhận hay từ chối thực Thứ tự đặt câu lệnh ACLs quan trọng.Phần mềm Cisco IOS kiểm tra gói liệu với câu lệnh theo thứ tự từ xuống N ếu thoả điều kiện câu lệnh gói liệu chấp nhận hay từ chối tồn câu lệnh lại ACLs khơng phải kiểm tra Nếu khơng thoả điều kiện tất câu lệnh ACLs mặc định cuối danh sách ln có câu lệnh “deny any” (từ chối tất cả) Nếu cần thêm câu lệnh vào ACLs phải xố tồn ACLs tạo lại ACLs có câu lệnh Hình 7.3 Sơ đồ làm việc ACLs 170 7.1.3 Tạo ACLs ACLs tạo chế độ cấu hình tồn cục Có nhiều loại ACLs khác nhau, bao gồm: ACL bản, ACL mở rộng, ACL cho IPX, AppleTalk giao thức khác Khi cấu hình ACLs Router ACL có số xác định Hình 7.4 Các thơng số cấu hình ACL Bắt đầu tạo ACLs từ khóa access-list, theo sau tham số tương ứng lệnh Trong chế độ chế độ cấu hình cổng Router, dùng lệnh access-group để gán ACL tương ứng vào cổng Khi gán ACL cho cổng , cần xác định cụ thể ACL áp dụng cho chiều hay vào cổng Router Để thay đổi ACL, dùng lệnh no access-list list-number để xóa tất câu lệnh access-list có list-number Các nguyên tắc tạo gán ACLs: Một ACL cho giao thức chiều cổng ACL nên đặt vị trí gần mạng đích ACL mở rộng nên đặt gần mạng nguồn Đứng Router để xác định chiều hay vào cổng Router Các câu lệnh ACL kiểm tra từ xuống có câu lệnh thỏa N gược lại, khơng có câu lệnh ACL gói liệu bị từ chối 171 Hình 7.5 Cấu hình ACL cho Router Trong thực tế, lệnh danh sách truy cập xâu kí tự dài Các danh sách truy cập phức tạp nhập vào dịch ra.Tuy nhiên, đơn giản hố lệnh định cấu hình cho danh sách truy cập chung cách giảm lệnh hai phần tử chung Mô hình tạo ACL: Bước 1: Tạo thơng số cho câu lệnh kiểm tra danh sách truy cập (có thể vài câu lệnh): Router(config)#access-list access-list-number {permit | deny} {test condition} Bước 2: Cho phép giao diện trở thành phần nhóm, nhóm mà sử dụng danh sách truy cập xác định (kích hoạt access list Interface) Router(config-IP)#{protocol} access-group access-list-number {in | out} access-list-number số hiệu phân biệt access list với nhau, đồng thời cho biết loại access list (standard hay extended) Cập nhật danh sách truy cập: Nếu câu lệnh điều kiện thêm vào cần thiết danh sách truy cập cập nhật tồn ACL phải xố tạo lại với câu lệnh điều kiện Xác định ACLs nào? Mỗi ACL xác định cách gán số (hoặc tên) cho Số xác định kiểu danh sách truy cập tạo phải nằm phạm vi giới hạn đặc biệt số: Một ACL số hố khơng thể bị hiệu chỉnh Router Để hiệu chỉnh ACL: Bước 1: Copy tới file văn Bước 2: Gỡ bỏ từ cấu hình Router với ‘no’ hình dạng câu lệnh ACL Bước 3: Tạo thay đổi cần thiết cho lile văn Bước 4: Dán trở lại chế độ cấu hình chung 172 7.1.4 Chức wildcard mask Một wildcard mask dài 32 bit chia làm Octet Mỗi wildcard mask với địa IP Số bit wildcard mask sử dụng để xác định cách xử lý bit tương ứng địa IP Hình 7.6 Cấu trúc wildcard mask địa IP Subnet Mask có chuỗi bit trái kéo dài sang phải để xác định phần host phần mạng địa IP Trong wildcard mask thiết kế để lọc địa IP riêng lẻ hay nhóm địa IP phép hay từ chối truy cập dựa địa IP Giá trị wildcard mask có ý nghĩa khác với bit subnet mask Để tránh nhầm lẫn, chữ x sử dụng để thay bit wildcard mask Ví dụ, wildcard mask 0.0.257.257 Bit có nghĩa bit tương ứng địa IP phải kiểm tra, bit x (bit 1) có nghĩa bit tương ứng địa IP bỏ qua khơng cần kiểm tra Trong trình wildcard mask, địa IP câu lệnh kết hợp với wildcard mask câu lệnh để tính giá trị chuẩn Giá trị dùng để so sánh với địa gói liệu kiểm tra câu lệnh ACL Nếu hai giá trị nàygiống có nghĩa điều kiện địa thỏa mãn Có hai từ khóa đặc biệt sử dụng ACLs any host Any đại diện cho IP 0.0.0.0 wildcard mask 257.257.257.255, host đại diện cho wildcard mask 0.0.0.0 173 Hình 7.7 Quá trình kết hợp IP wildcard mask 7.1.7 Kiểm tra ACLs Có nhiều lệnh show sử dụng kiểm tra nội dung vị trí đặt ACLs Router Lệnh show IP Interface hiển thị thông tin cổng IP Router cho biết có ACLs đặt cổng hay không Lệnh show access-lists hiển thị nội dung tất ACLs Router Để xem cụ thể ACL cần thêm tên số vào sau câu lệnh show access-lists Hình 7.8 Ví dụ lệnh show 174 7.2 Danh sách kiểm tra truy cập 7.2.1 ACLs ACLs thực kiểm tra địa IP nguồn gói liệu Kết kiểm tra dẫn đến kết cho phép hay từ chối truy cập toàn giao thức dựa địa mạng, subnet hay host Trong chế độ cấu hình tồn cục, lệnh access-list sử dụng để tạo ACL với số ACL nằm khoảng từ đến 99 Ví dụ: Access-list deny 172.16.1.1 Access-list permit 172.16.1.0 0.0.0.255 Access-list deny 172.16.0.0 0.0.257.255 Access-list permit 172.0.0.0 0.257.257.255 Câu lệnh ACL khơng có wildcard mask, trường hợp wildcard mask mặc định sử dụng 0.0.0.0 Điều có nghĩa tồn địa 172.16.1.1 phải thỏa, khơng Router phải kiểm tra câu lệnh ACL Hình 7.9 Hoạt động ACL 175 Cấu trúc đầy đủ lệnh ACL bản: Router(config)#access-list access-list-number {deny / permit} Source [ source wildcard ] [ log ] Dạng no câu lệnh sử dụng để xóa ACLs: Router(config)#no access-list access-list-number 7.2.2 ACLs mở rộng ACLs mở rộng thường sử dụng nhiều ACLs có khả kiểm sốt lớn nhiều ACLs mở rộng kiểm tra điạ nguồn đích gói liệu, kiểm tra giao thức với số cổng Do thuận tiện việc cấu hình điều kiện kiểm tra cho ACL Gói liệu chấp nhận hay từ chối dựa vị trí xuất phát đích đến gói liệu với loại giao thức số cổng Ví dụ, ACL mở rộng cho phép lưu lượng Email từ cổng Fa0/0 cổng S0/0 từ chối lưu lượng Web FTP Khi gói liệu bị hủy bỏ bị từ chối, số giao thức gửi thông điệp phản hồi cho máy gửi để thông báo liệu khơng đến đích Trong ACL có nhiều câu lệnh Các câu lệnh có số ACL nằm danh sách ACL Có thể cấu hình số lượng ACL với số lượng không hạn chế phụ thuộc vào dung lượng nhớ Router Ví dụ: Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data Ở cuối câu lệnh ACL mở rộng có thơng số số port TCP UDP để xác định xác loại gói liệu Có thể xác định số port tham số eq (equal: bằng), neq (not equal: không bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn) ACL mở rộng sử dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 IOS gần đây) Lệnh IP access-group sử dụng để gán ACL mở rộng có vào cổng Router Một ACL cho giao thức cho chiều cổng 176 Ví dụ: Router(config-if)#IP access-group access-list-number {in | out} 7.2.3 Đặt tên ACLs Đặt tên ACLs có ưu điểm sau: Xác định ACL tên mang tính trực giác ACLs đặt tên chỉnh sửa mà khơng cần phải xóa tồn ACLs viết lại từ đầu ACLs đặt theo số Khơng bị giới hạn tối đa 798 ACLs 799 ACLs mở rộng Ví dụ cấu hình đặt tên ACL: TN (config)#IP access-list extended server-access TN (config-ext-nacl)#permit TCP any host 131.108.101.99 eq mstp TN (config-ext-nacl)#permit UDP any host 131.108.101.99 eq domain TN (config-ext-nacl)#deny IP any any TN (config-ext-nacl)#^Z Applying the name list: TN (config)#Interface fastethernet 0/0 TN (config-if)#IP access-group server-access out TN (config-if)#^Z Những điểm cần lưu ý thực đặt tên ACLs: ACLs đặt tên khơng tương thích với Cisco IOS phiên trước 11.2, Không sử dụng chung tên cho nhiều ACLs khác Ví dụ, khơng thể có ACL ACLs mở rộng có tên TN 7.2.4 Vị trí đặt ACLs ACLs sử dụng để kiểm sốt lưu lượng cách lọc gói liệu loại bỏ lưu lượng không mong muốn mạng Vị trí đặt ACLs quan trọng, giúp cho hoạt động toàn hệ thống mạng hiệu 177 Hình 7.10 Vị trí đặt ACLs Ngun tắc chung là: Đặt ACLs mở rộng gần nguồn nguồn lưu lượng mà ta muốn chặn lại tốt ACLs khơng xác định địa đích nên đặt chúng gần đích tốt 7.2.5 Bức tường lửa Bức tường lửa cấu trúc ngăn người dùng bên hệ thống mạng với hệ thống bên để tránh kẻ xâm nhập bất hợp pháp Một tường lửa bao gồm nhiều thiết bị làm việc để ngăn chặn truy cập khơng mong muốn Hình 7.11 Cấu trúc tường lửa 178 Trong cấu trúc này, Router kết nối Internet gọi Router ngoại vi, đưa tất lưu lượng nhận vào đến Application gateway Kết gateway kiểm sốt việc phân phối dịch vụ vào hệ thống mạng Khi đó, user phép kết nối Internet ứng dụng phép thiết lập kết nối cho host bên bên Điều giúp bảo vệ Application gateway tránh cho bị tải gói liệu vốn bị hủy bỏ Do ACLs đặt Router đóng vai trò tường lửa, Router vị trí trung gian mạng bên mạng bên Router tường lửa cách ly cho toàn hệ thống mạng bên tránh bị công ACLs nên sử dụng Router vị trí trung gian kết nối hai phần hệ thống mạng kiểm soát hoạt động hai phần 7.2.6 Giới hạn truy cập vào đường VTY Router ACLs mở rộng có hiệu gói liệu qua Router Nhưng chúng khơng chặn gói liệu xuất phát từ thân Router Do ACL mở rộng ngăn hướng Telnet ngăn chặn phiên Telnet xuất phát từ Router Hình 7.12 Truy cập vào đường vty Router Trên Router có cổng vật lý cổng Fa0/0 S0/0 có cổng ảo Các cổng gọi đường vty đánh số từ đến Giới hạn truy cập vào đường vty tăng khả bảo vệ cho hệ thống mạng Quá trình tạo vty ACLs giống tạo 179 ACL khác, đặt ACLs vào đường vty dùng lệnh access-class thay dùng lệnh access-group Ví du: Creating the standard list: Router1(config)#access-list permit 172.16.1.0 0.0.0.255 Router1(config)#access-list permit 172.16.2.0 0.0.0.255 Router1(config)#access-list deny any Applying the access list: Router1(config)#line vty Router1(config-line)#Password secret Router1(config-line)#access-class in Router1(config-line)#login 180 TÀI LIỆU THAM KHẢO [1] CCNA Study Guide, Todd Lammle [2] CCENT/CCNA ICND1, Wendell Odom, CCIE No 1624 [3] CCENT/CCNA ICND2, Wendell Odom, CCIE No 1624 [4] Giáo trình hệ thống mạng máy tính CCNA Semester 1,2,3,4 Khương Anh - Nguyền Hồng Sơn [5] www.vnpro.org 181 ... trình truyền bit số liệu nối tiếp qua kênh đơn Tiến trình cung ứng truyền thơng đường dài tin cậy dùng dải tần số ánh sáng hay điện tử đặc bi t Các tần số đo theo số chu kỳ giây bi u diễn theo... loại máy tính đặc bi t Nó có thành phần giống máy tính: CPU, nhớ, system bus cổng giao tiếp Tuy nhiên Router kết để thực số chức đặc bi t Ví dụ: Router thiết kế để thực số chức đặc bi t Ví dụ: Router... cục Tuỳ theo ý muốn thay đổi thay đổi phần cấu hình đặc bi t Router chuyển vào chế độ chuyên bi t tương ứng Các chế độ cấu hình chuyên bi t ch ế độ chế độ cấu hình tồn cục Các câu lệnh sử dụng