Đang tải... (xem toàn văn)
Tham khảo tài liệu ''giáo trình phân tích khả năng ứng dụng giao thức phân giải địa chỉ ngược rarp p6'', công nghệ thông tin, quản trị mạng phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Hình 7.3 – Nguyên tắc hoạt động danh sách truy cập Khởi đầu tiến trình giống khơng phân biệt có sử dụng danh sách truy cập hay khơng: Khi gói tin vào giao diện, router kiểm tra để xác định xem chuyển gói tin hay khơng Nếu khơng được, gói tin bị xóa Một mục từ bảng chọn đường thể cho đích đến mạng với chiều dài đường đến đích giao diện router hướng đích đến Kế tiếp router kiểm tra để xác định xem giao diện hướng đến đích đến có danh sách truy cập khơng Nếu khơng, gói tin gởi vùng đệm cho ngỏ tương ứng, mà không bị danh sách truy cập chi phối Giả sử giao diện nhận đặt danh sách truy cập mở rộng Nhà quản trị mạng sử dụng biểu thức luận lý, xác để thiết lập danh sách truy cập Trước gói tin đưa đến giao diện ra, phải kiểm tra tập quy tắc định nghĩa danh sách truy cập gán cho giao diện Dựa vào kiểm tra danh sách truy cập mở rộng, gói tin phép danh sách vào (inbound list), có nghĩa tiếp tục xử lý gói tin sau nhận giao diện hay danh sách (outbound list), điều có nghĩa gởi gói tin đến vùng đệm tương ứng giao diện Ngược lại, kết kiểm tra từ chối việc cấp phép nghĩa gói tin bị hủy Khi hủy gói tin, vài giao thức trả lại gói tin cho người gởi Điều báo hiệu cho người gởi biết khơng thể đến đích Biên soạn : Th.s Ngô Bá Hùng – 2005 76 Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Hình 7.4- Nguyên tăc lọc dựa danh sách truy cập Các lệnh danh sách truy cập hoạt động cách Chúng đánh giá gói tin từ xuống Nếu tiêu đề gói tin lệnh danh sách truy cập khớp với nhau, gói tin bỏ qua lệnh cịn lại Nếu điều kiện thỏa mãn, gói tin cấp phép hay bị từ chối Chỉ cho phép danh sách giao thức giao diện Trong ví dụ trên, giả sư có trùng hợp với bước kiểm tra gói tin bị từ chối truy cập giao diện hướng đến đích đến Gói tin bị bỏ đưa vào thùng rác Gói tin khơng cịn qua bước kiểm tra khác Chỉ gói tin khơng trùng với điều kiện bước kiểm tra chuyển vào bước kiểm tra thứ hai Giả sử tham số khác gói tin trùng khớp với bước kiểm tra thứ hai, lệnh cho phép, gói tin phép chuyển giao diện hướng đích Một gói tin khác không trùng với điều kiện bước kiểm tra thứ kiểm tra bước thứ hai, lại trùng với điều kiện kiểm tra thứ ba với kết phép Chú ý rằng: Để hoàn chỉnh mặt luận lý, danh sách truy cập phải có điều kiện mà tạo kết cho tất gói tin Một lệnh cài đặt cuối bao trùm cho tất gói tin mà bước kiểm tra trước khơng có kết Đây bước kiểm tra cuối mà khớp với tất gói tin Nó kết từ chối Điều làm cho tất gói tin bị bỏ 7.3.1 Tổng quan lệnh Danh sách truy cập Trong thực tế, lệnh danh sách truy cập chuỗi với nhiều ký tự Danh sách truy cập phức tạp để nhập vào hay thông dịch Tuy nhiên đơn giản hóa lệnh cấu hình danh sách truy cập cách đưa chúng hai loại tổng quát sau: Biên soạn : Th.s Ngô Bá Hùng – 2005 77 Đại Học Cần Thơ – Khoa Cơng Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Loại 1: Bao gồm lệnh để xử lý vấn đề tổng quát, cú pháp mô tả sau: access-list access-list- number {permit|deny} {test conditions} o access-list: từ khóa bắt buộc o access-list-number: Lệnh tổng thể dùng để nhận dạng danh sách truy cập, thông thường số Con số biểu thị cho loại danh sách truy cập o Thuật ngữ cho phép (permit) hay từ chối (deny) lệnh danh sách truy cập tổng quát biểu thị cách thức mà gói tin khớp với điều kiện kiểm tra xử lý hệ điều hành router Cho phép thơng thường có nghĩa gói tin phép sử dụng hay nhiều giao diện mà bạn mô tả sau o test conditions: Thuật ngữ cuối mô tả điều kiện kiểm tra dùng lệnh danh sách truy cập Một bước kiểm tra đơn giản việc kiểm tra địa nguồn Tuy nhiên thông thường điều kiện kiểm tra mở rộng để chứa đựng vài điều kiện kiểm tra khác Sử dụng lệnh danh sách truy cập tổng quát với số nhận dạng để chồng nhiều điều kiện kiểm tra vào chuỗi luận lý danh sách kiểm tra Loại 2: Xử lý danh sách truy cập sử dụng lệnh giao diện Cú pháp sau: {protocol} access-group access-list-number Với: Protocol: giao thức áp dụng danh sách truy cập Access-group: từ khóa Access-list-number: Số hiệu nhận dạng danh sách truy cập định nghĩa trước Tất lệnh danh sách truy cập nhận dạng số tương ứng với nhiều giao diện Bất kỳ gói tin mà chúng vượt qua điều kiện kiểm tra danh sách truy cập gán phép sử dụng giao diện nhóm giao diện phép 7.4 Danh sách truy cập chuẩn mạng TCP/IP 7.4.1 Kiểm tra gói tin với danh sách truy cập Để lọc gói tin TCP/IP, danh sách truy cập hệ điều hành liên mạng Cisco kiểm tra gói tin phần tiêu đề giao thức tầng Tiến trình bao gồm bước kiểm tra sau gói tin: o Kiểm tra địa nguồn danh sách truy cập chuẩn Nhận dạng danh sách truy cập số có giá trị từ đến 99 o Kiểm tra địa đích địa nguồn giao thức danh sách truy cập mở rộng Nhận dạng danh sách số có giá trị từ 100 dến 199 Biên soạn : Th.s Ngô Bá Hùng – 2005 78 Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 o Kiểm tra số hiệu cổng giao thức TCP UDP điều kiện danh sách truy cập mở rộng Các danh sách nhận dạng số có giá trị từ 100 đến 199 Hình 7.5 – Ví dụ danh sách truy cập gói tin TCP/IP Đối với tất danh sách truy cập giao thức TCP/IP này, sau gói tin kiểm tra để khớp lệnh danh sách, bị từ chối cấp phép để sử dụng giao diện nhóm giao diện truy cập Một số lưu ý thiết lập danh sách truy cập: o Nhà quản trị mạng phải thận trọng đặc tả điều khiển truy cập thứ tự lệnh để thực điều khiển truy cập Chỉ rõ giao thức phép giao thức TCP/IP lại bị từ chối o Chỉ rõ giao thức IP cần kiểm tra Các giao thức IP lại khơng cần kiểm tra o Sử dụng ký tự đại diện (wildcard) để mô tả luật chọn lọc địa IP 7.4.2 Sử dụng bit mặt nạ ký tự đại diện Mặt nạ ký tự đại (Wildcard mask) chuỗi 32 bits dùng để kết hợp với địa IP để xác định xem bit địa IP bỏ qua so sánh với địa IP khác Các mặt nạ ký tự đại diện mô tả xây dựng danh sách truy cập Ý nghĩa bits mặt nạ ký tự đại diện mơ tả sau: o Một bits có giá trị mặt nạ đại diện có nghĩa « kiểm tra bit địa IP có vị trí tương ứng với bit » o Một bits có giá trị mặt nạ đại diện có nghĩa « đừng kiểm tra bit địa IP có vị trí tương ứng với bit » Bằng cách thiết lập mặt nạ ký tự đại diện, nhà quản trị mạng chọn lựa nhiều địa IP để kiểm tra cấp phép từ chối Xem ví dụ hình đây: Biên soạn : Th.s Ngô Bá Hùng – 2005 79 Đại Học Cần Thơ – Khoa Cơng Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 128 64 32 16 Vị trí bit byte giá trị địa 0 0 0 0 Mặt nạ kiểm tra tất bit địa 0 1 1 1 Mặt nạ không kiểm tra bits cuối địa 0 0 1 1 Mặt nạ không kiểm tra bits cuối địa 1 1 1 0 Mặt nạ kiểm tra bits cuối địa 1 1 1 1 Mặt nạ không kiểm tra địa Ví dụ: Cho địa mạng lớp B 172.16.0.0 Mạng chia thành 256 mạng cách sử dụng bit bytes thứ địa để làm số nhận dạng mạng Nhà quản trị muốn định kiểm tra địa IP mạng từ 172.16.16.0 đến 172.16.31 Các bước suy luận để đưa mặt nạ ký tự đại diện trường hợp sau: o Đầu tiên mặt nạ ký tự đại diện phải kiểm tra hai bytes địa (172.16) Như bits hai bytes mặt nạ ký tự đại diện phải Ta có 0000 0000.0000 0000.-.o Do không kiểm tra địa máy tính mạng nên bit bytes cuối bỏ qua Vì bits bytes cuối mặt nạ ký tự đại diện Ta có 0000 0000.0000 0000.-.1111 1111 o Trong byte thứ ba địa nơi mạng định nghĩa, mặt nạ ký tự đại diện kiểm tra bit vị trí có giá trị thứ 16 địa phải bật (giá trị 1) bits phần cao lại phải tắt (giá trị 0) Vì bits tương ứng mặt nạ ký tự đại diện phải o Bốn bits lại bytes thứ khơng cần kiểm tra để tạo nên giá trị từ 16 đến 31 Vì bits tương ứng mặt nạ ký tự đại diện tương ứng o Như mặt nạ ký tự đại diện đầy đủ là: 0000 0000.0000 0000.0000 1111.1111 1111 hay 0.0.15.255 Để đơn giản, số router, chẳng hạn CISCO, sử dụng số từ viết tắt để số mặt nạ thường sử dụng: o any: dùng để mặt nạ cho phép tất địa (255.255.255.255) cấm tất (0.0.0.0.) o host: đặt phía trước địa IP máy tính để kiểm tra tất bit địa Ví dụ: host 172.16.1.1 7.4.3 Cấu hình danh sách truy cập chuẩn cho giao thức IP Phần giới thiệu số lệnh hỗ trợ router Cisco 7.4.3.1 Lệnh access list Lệnh dùng để tạo mục từ danh sách lọc chuẩn Cú pháp sau: access-list access-list-No {permit | deny } source {source-mask} Biên soạn : Th.s Ngô Bá Hùng – 2005 80 ... thực điều khiển truy cập Chỉ rõ giao thức phép giao thức TCP/IP cịn lại bị từ chối o Chỉ rõ giao thức IP cần kiểm tra Các giao thức IP cịn lại khơng cần kiểm tra o Sử dụng ký tự đại diện (wildcard)... giao thức tầng Tiến trình bao gồm bước kiểm tra sau gói tin: o Kiểm tra địa nguồn danh sách truy cập chuẩn Nhận dạng danh sách truy cập số có giá trị từ đến 99 o Kiểm tra địa đích địa nguồn giao. .. sách truy cập nhận dạng số tương ứng với nhiều giao diện Bất kỳ gói tin mà chúng vượt qua điều kiện kiểm tra danh sách truy cập gán phép sử dụng giao diện nhóm giao diện phép 7.4 Danh sách truy