Giải quyết sự cố trong ACL

Một phần của tài liệu GIÁO TRÌNH CCNA - Chương 4: Công nghệ WAN và bảo mật ppt (Trang 41 - 45)

Ticket 1. Host 10.1.1.1 không thể liên lạc với 10.100.100.1. Output sau cho thấy những thông tin về cấu hình ACL để tìm ra nguyên nhân gây lỗi:

Nguyên nhân gây nên host 10.1.1.1 không thể liên lạc với 10.100.100.1 chính là thứ tự sắp xếp của rule 10. Bởi vì router sẽ thực thi ACL theo chiều trên xuống, rule 10 sẽ từ chối host 10.1.1.1, và rule 20 sẽ không được thực thi. Giải pháp cho vấn đềnày chính là thay đổi thứ tự của rule 10 và 20.

Ticket 2. Lớp mạng 192.168.1.0 không thể dùng TFTP để connect tới 10.100.100.1. Output sau cho thấy những thông tin về cấu hình ACL để tìm ra nguyên nhân gây lỗi:

Nguyên nhân làm cho lớp mạng 192.168.1.0 không thể dùng TFTP với 10.100.100.1 chính là TFTP dùng UDP. Rule 30 trong ACL cho phép tất cả

luồng dữ liệu TCP, và bởi vì TFTP dùng UDP, nó sẽ có ngụ ý từ chối. Giải pháp cho vấn đề này là chỉnh sửa rule 30 (có thể là permitip any any)

Ticket 3. Lớp mạng 172.16.0.0 có thểdùng Telnet để connect tới 10.100.100.1,

nhưng kết nối này thì không cho phép. Output sau cho thấy những thông tin về

cấu hình ACL để tìm ra nguyên nhân gây lỗi:

Nguyên nhân chính là port của Telnet trong rule 10 đã sai vị trí. Rule 10 hiện tại từ chối bất kì nguồn với một port là telnet cố gắng để xây dựng kết nối tới bất kì

địa chỉ IP. Nếu muốn từ chối Telnet theo chiều vào trên cổng S0, giải pháp chính là từ chối port đích là telnet (deny tcp any any eq telnet)

Ticket 4. Host 10.1.1.1 có thể dùng Telnet để connect tới 10.100.100.1, nhưng

kết nối này thì không cho phép. Output sau cho thấy những thông tin về cấu hình ACL để tìm ra nguyên nhân gây lỗi:

Nguyên nhân chính gây nên lỗi chính là không tồn tại bất kì rule nào từ chối host 10.1.1.1 hoặc lớp mạng của nó như địa chỉ nguồn. Rule 10 từ chối cổng của router mà luồng dữ liệu đi. Nhưng khi các gói tin này đi khỏi router, chúng có

địa chỉ nguồn là 10.1.1.1 và không là địa chỉ của cổng vật lý của router. Giải pháp chính là chỉnh sửa rule 10 để mà subnet 10.1.0.0 bị từ chối thay vì địa chỉ

10.160.22.11.

Ticket 5. Host 10.100.100.1 có thể dùng Telnet để connect tới 10.1.1.1, nhưng

kết nối này thì không cho phép. Output sau cho thấy những thông tin về cấu hình ACL để tìm ra nguyên nhân gây lỗi:

ACL 150 được áp đặt tới cổng S0 theo chiều inbound.

Nguyên nhân chính gây nên lỗi là sai chiều của ACL 150. Rule 10 từ chối địa chỉ nguồn của 10.100.100.1, nhưng địa chỉ này chỉ là nguồn nếu luồng dữ liệu

đi ra trên cổng S0, không phải chiều đi vào. Giải pháp chính là điều chỉnh chiều

mà ACL được áp đặt trên giao diện cổng.

Ticket 6. Host 10.1.1.1 có thể dùng Telnet để connect tới RouterX, nhưng kết nối này thì không cho phép. Output sau cho thấy những thông tin về cấu hình

ACL để tìm ra nguyên nhân gây lỗi:

Nguyên nhân chính gây lỗi chính là dùng Telnet để kết nối vào trong router thì

khác hoàn toàn khi dùng Telnet để kết nối qua router đểđến thiết bị khác. Rule 10 từ chối Telnet gán trên cổng S0 của Router B. Host 10.1.1.1 vẫn còn có thể dùng Telnet để kết nối vào trong router B khi dùng những cổng địa chỉ khác,

như là cổng E0. Khi nếu khóa luồng Telnet vào trong hay ra ngoài của một router, dùng access-classđểáp đặt vào đường các vty.

Khái quát chung:

Standard và extended Cisco IOS ACL được sử dụng để phân loại các gói tin IP. Các nhiều tính năng của ACL bao gồm bảo mật, mã hóa, dựa trên chính sách

định tuyến, và chất lượng dịch vụ (QoS). Những tính năng này được áp dụng trên router và chuyển đổi giao diện cho các hướng dẫn cụ thể(hướng trong so với ngoài).

Numbered ACL xác định loại của ACL đang được tạo ra: standard hoặc extended. Chúng cũng cho phép các quản trị linh hoạt hơn khi họđang sửa đổi các mục ACL.

Danh sách sau đây tóm tắt những điểm chính được thảo luận trong chương

■ ACL thực hiện xử lý từ trên xuống và có thểđược cấu hình cho lưu lượng truy cập đến hoặc đi.

■ Trong một wildcard mask, 0 có nghĩa là để phù hợp với các bit địa chỉ tương ứng, và 1 có nghĩa là bỏqua các bit địa chỉtương ứng.

■ Standard IPv4 cho phép ACL lọc dựa trên địa chỉ nguồn.

■ Extended ACL IPv4 cho phép lọc dựa trên địa chỉ nguồn và đích, cũng như các giao thức và số cổng.

■ Các câu lệnh show access-listsshow ip interface rất hữu ích trong việc xử lý sự cố khi cấu hình ACL.

PART 2: M rng quy mô mng vi NAT và PAT

Hai thách thức về khả năng mở rộng Internet do sự cạn kiệt của IP phiên bản 4 (IPv4) về địa chỉ không gian và nhân rộng trong định tuyến. Cisco IOS Network Address Translation (NAT) và Port Address Translation (PAT) là cơ

chế bảo tồn đăng ký địa chỉ IPv4 trong các mạng lớn và đơn giản hóa nhiệm vụ

quản lý địa chỉ IPv4. NAT và PAT dịch địa chỉ IPv4 trong mạng nội bộđến các

địa chỉ IPv4 hợp pháp để vận chuyển trên các mạng công cộng bên ngoài, chẳng hạn như Internet, mà không yêu cầu một địa chỉ subnet đăng ký. Luồng dữ liệu

đi vào được dịch trở lại thành địa chỉ cấp phát bên trong.

Bản dịch này của địa chỉ IPv4 loại bỏ sự cần thiết phải đánh số lại host và cho phép cùng một dải địa chỉ IPv4 sẽ được sử dụng trong nhiều mạng nội bộ.

Phần này mô tả các tính năng được cung cấp bởi các NAT và PAT và cho bạn

thấy làm thế nào để cấu hình NAT và PAT trên router Cisco.

Một phần của tài liệu GIÁO TRÌNH CCNA - Chương 4: Công nghệ WAN và bảo mật ppt (Trang 41 - 45)

Tải bản đầy đủ (PDF)

(183 trang)