2. Các thiết bị triển khai trên hệ thống
1.4. Cấu hình ACLs
Việc cấu hình ACLs trên các router sẽ khiến các router hoạt động như một firewall thực thụ.
Ở đây có thể cấu hình ACLs để ngăn chặn các gói tin của host 172.16.5.5 đi qua router HaNoi.
HaNoi(config)#access-list 1 deny 172.16.5.5 0.0.0.0
HaNoi(config)#access-list 1 permit 0.0.0.0 255.255.255.255 HaNoi(config)#interface s0/0
HaNoi(config-if)#ip access-group 1 in
Hai dòng lệnh trên cùng có thể được thay bằng lệnh sau:
HaNoi(config)#access-list 1 permit any
Trên mô hình mô phỏng, để ngăn chặn hacker ở ngoài telnet vào router chúng ta có thể tạo ACLs ngăn chặn telnet:
HaNoi(config)#access-list 101 deny tcp any any eq 23 HaNoi(config)#access-list 101 permit ip any any HaNoi(config)#interface s0/1
HaNoi(config-if)#ip access-group 101 in
Với cấu trúc lệnh như trên, các phiên telnet từ ngoài vào router HaNoi sẽ bị ngăn chặn trong khi đó các gói tin IP khác vẫn hoạt động bình thường.
Ngoài những phương pháp bảo hệ thống thông qua cấu hình trên router cũng có thể sử dụng phương pháp chuyển đổi địa chỉ mạng (Network Address Transtation) để ngăn chặn việc bị phát hiện địa chỉ IP của các máy trong nội bộ mạng.
2. Switch
2.1. Cấu hình password truy nhập
Cũng giống như router, trên switch cũng có thể cấu hình password cho cổng consol cũng như các phiên telnet. Lệnh cấu hình như sau:
Switch1(config)#line console 0
Switch1(config-line)#password bachkhoa Switch1(config-line)#login
Switch1(config-line)#exit
Lệnh đặt enable password:
Switch1(config)#enable password bachkhoa
Password này không được mã hoá, nó sẽ hiển thị dưới dạng clear text khi thực hiện lệnh show runningconfig, để mã hoá password có thể dùng lệnh:
Lệnh cấu hình password cho các phiên telnet: Switch1(config)#line vty 0 15 Switch1(config-line)#password bachkhoa Switch1(config-line)#login Switch1(config-line)#exit 2.2. Cấu hình VLAN
Trên mỗi switch được chia thành 3 VLAN là VLAN2, VLAN3 và VLAN4. Việc phân chia các port của switch vào các VLAN như sau:
+Port 1 đến 8 thuộc VLAN2 +Port 9 đến 16 thuộc VLAN3 +Port 17 đến 24 thuộc VLAN4
Riêng VLAN1 được dùng làm VLAN quản lý và không có port nào của switch được gắn vào VLAN1.
2.2.1. Cấu hình cho chi nhánh Hà Nội
+Các lệnh cấu hình cho switch1 như sau:
Switch1#vlan database Switch1(vlan)#vlan 2 Switch1(vlan)#vlan 3 Switch1(vlan)#vlan 4
Switch1(vlan)#vtp domain hanoi Switch1(vlan)#vtp server
Switch1(vlan)#exit
Sau các câu lệnh này VLAN2, VLAN3 và VLAN4 được tạo ra trên switch1. Switch1 được đặt ở trạng thái VTP server và nằm trong domain hahoi. Như vậy switch1 sẽ có nhiệm vụ quảng bá thông tin về VLAN cho các switch còn lại.
Để định tuyến cho các VLAN ta cần phải cấu hình các subinterface trên router.
HaNoi(config)#interface fa0/0 HaNoi(config-if)#no shutdown HaNoi(config-if)#interface fa0/0.2 HaNoi(config-if)#encapsulation dot1q 2 HaNoi(config-if)#ip address 172.16.2.1 255.255.255.0 --- HaNoi(config-if)#interface fa0/0.3 HaNoi(config-if)#encapsulation dot1q 3 HaNoi(config-if)#ip address 172.16.3.1 255.255.255.0 --- HaNoi(config-if)#interface fa0/0.4 HaNoi(config-if)#encapsulation dot1q 4 HaNoi(config-if)#ip address 172.16.4.1 255.255.255.0 HaNoi(config-if)#exit
Qua các câu lệnh trên, cổng fa0/0 của router HaNoi được chia thành 3 cổng logic tương ứng với 3 VLAN.
Sau khi tạo ra các VLAN cần phải gán các cổng của switch vào các VLAN tương ứng.
Switch1#config terminal
Switch1(config)#interface fa0/x
Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 2 Switch1(config-if)#exit
Ở đây x là số port được gán vào VLAN2, x có giá trị từ 1 đến 8.
---
Switch1#config terminal
Switch1(config)#interface fa0/y
Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 3
Switch1(config-if)#exit
Ở đây y là số port được gán vào VLAN3, y có giá trị từ 9 đến 16.
---
Switch1#config terminal
Switch1(config)#interface fa0/z
Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 4 Switch1(config-if)#exit
Ở đây z là số port được gán vào VLAN4, z có giá trị từ 17 đến 24.
--- Đường nối giữa hai switch cần phải được cấu hình ở mức trunk để mang thông tin giữa các VLAN.
Switch1#config terminal
Switch1(config)#interface gigabit1
Switch1(config-if)#switchport mode trunk
Ngoài ra, để thuận tiện cho việc quản lý ta cũng có thể đặt địa chỉ IP cho switch.
Switch1#config terminal
Switch1(config)#interface vlan1
Switch1(config-if)#ip address 172.16.0.1 255.255.255.0
+Các lệnh cấu hình cho switch2 như sau:
Switch2#vlan database
Switch2(vlan)#vtp domain hanoi Switch2(vlan)#vtp client
Switch2(vlan)#exit
Switch2 được cấu hình VTP cùng domain với switch1 và ở mức client. Như vậy switch2 không có khả năng tạo cũng như xoá các VLAN. Nó sẽ
cũng không cần cấu hình vì nó sẽ nhận từ switch1. Trên switch2 chỉ cần cấu hình mode trunk cho đường nối và đặt IP để tiện quản lý:
Switch2#config terminal
Switch2(config)#interface gigabit1
Switch2(config-if)#switchport mode trunk Switch2(config-if)#exit
Switch1(config)#interface vlan1
Switch1(config-if)#ip address 172.16.0.2 255.255.255.0
2.2.2. Cấu hình cho chi nhánh Sài Gòn
Việc cấu hình trên các switch ở chi nhánh Sài Gòn hoàn toàn tương tự. Ở đây vtp domain sẽ là saigon và địa chỉ IP cho các VLAN sẽ tương ứng như sau:
+VLAN2 172.16.5.0/24 +VLAN3 172.16.6.0/24 +VLAN4 172.16.7.0/24
KẾT LUẬN
Để đảm bảo sự an toàn thông tin trên mạng cần phải thực hiện nhiều lớp bảo vệ khác nhau, mỗi lớp có những mặt hạn chế và cũng có những ưu điểm riêng. Tuỳ vào yêu cầu cụ thể của công việc mà ta cần lựa chọn những biện pháp sao cho thích hợp để đáp ứng được nhu cầu đảm bảo an toàn thông tin cho hệ thống.
Hiện nay để triển khai một hệ thống mạng an toàn có rất nhiều phương pháp có thể áp dụng, trong đó việc sử dụng các thiết bị mạng cũng là một phương pháp rất quan trọng. Những thiết bị được sử dụng là rất nhiều nhưng để phát huy hết những khả năng của chúng thì người quản trị cần phải có những hiểu biết tương đối sâu về những thiết bị đó.
Trên thực tế hiện nay, tất cả các công ty hay tổ chức đều cần xây dựng một hệ thống mạng cho riêng mình, mỗi hệ thống mạng đều có những yêu cầu về an ninh mạng tuỳ theo mức độ quan trọng của thông tin. Việc thực hiện đề tài đã phần nào đáp ứng được các yêu cầu đó. Đề tài hoàn toàn có thể đem áp dụng để xây dựng một hệ thống mạng thực tế. Có thể quy mô mạng lớn hơn và có những yêu cầu an ninh cao hơn, khi đó sẽ kết hợp nhiều biện pháp khác để đảm bảo an toàn cho mạng. Đề tài có nhiều điểm tích cực nhưng cũng còn những hạn chế, các vấn đề được nêu ra mới chỉ dừng lại ở mức cơ bản, chưa thực sự đi sâu vào một vấn đề nào. Vì thời gian thực hiện đề tài không dài, thiết bị dùng để thực hiện là có hạn, việc thực hiện cấu hình trên các thiết bị không được nhiều do đó còn nhiều hạn chế để thực hiện được nhiều biện pháp đảm bảo an ninh mạng trên các thiết bị. Nếu có điều kiện về thiết bị cũng như thời gian thì đề tài chắc chắn sẽ mang tính thực tế nhiều hơn, giúp cho người đọc dễ dàng hiểu được một hệ thống mạng thực sự bao gồm những gì và chúng hoạt động thế nào.
Thông qua quá trình thực hiện đề tài này em cũng đã may mắn được tiếp xúc với các thiết bị của một hệ thống mạng máy tính, biết được chúng hoạt động thế nào, điều đó giúp em mở mang thêm rất nhiều kiến thức. Việc kết hợp giữa lý thuyết học trên ghế nhà trường với những kiến thức thực tế sẽ tạo rất nhiều thuận lợi cho công tác của em sau này.
NHỮNG THUẬT NGỮ VIẾT TẮT
ACK Acknowledgement ACLs Access Control Lists
ARP Address Resolution Protocol ATM Asynchronous Transfer Mode CAM Content Addressable Memory
CHAP Challenge Handshake Authentication Protocol DCE Data Circuit-Terminating Equipment
DDoS Distributed Denial of Service DNS Domain Name System
DoS Denial of Service
DTE Data Terminal Equipment
FDDI Fiber Distributed Data Interface FTP File Transfer Protocol
IDSs Instrution Direction Systems
ICMP Internet Control Message Protocol IP Internet protocol
ISDN Intergrated Services Digital Network LAN Local Area Network
MAC Media Access Control
NAT Network Address Transtation NIC Network Interface Card
OSI Open Systems Interconnection OSPF Open Shortest Path Firth
PAP Password Authentication Protocol PPP Point to point Protocol
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management Protocol SONET Synchronous Optical Network
STP Shield Twisted Pair
TCP Transmission Control Protocol UDP User Datagram Protocol
UTP Unshield Twisted Pair VLAN Virtual LAN
VTP VLAN Trunking Protocol WAN Wide Area Network
TÀI LIỆU THAM KHẢO
[1]. Nguyễn Thúc Hải – “Mạng máy tính và các hệ thống mở” – NXB Giáo dục
[2]. Khương Anh – “Giáo trình hệ thống mạng máy tính CCNA” – NXB Lao động – Xã hội
[3]. Giáo trình CCNA 3.1