Cấu hình numbered extended IPv4 ACL

Một phần của tài liệu GIÁO TRÌNH CCNA - Chương 4: Công nghệ WAN và bảo mật ppt (Trang 26 - 28)

III. Cấu hình ACL

2. Cấu hình numbered extended IPv4 ACL

Với extended ACL, đánh số từ100 đến 199 và 2000 đến 2699 hoặc dùng tên, có thể kiểm tra ở góc độsâu hơn với cảđịa chỉ nguồn và đích của IP. Thêm vào đó,

tận cùng của hàm extended ACL, ta có thể xác định cụ thể những giao thức là TCP hay UDP của tầng ứng dụng (application) của gói tin. Hình 1-10 chứng tỏ

rằng vùng header của IP có thể bị thẩm tra với một extended ACL.

Hình 1-10: Extended ACL

Để chỉ định một ứng dụng, bạn có thể cấu hình số cổng hoặc tên của một

ứng dụng nổi tiếng. Bảng 1-2 cho thấy một danh sách rút gọn của một số port của các ứng dụng TCP khác nhau

Bảng 2: Well-known port number và các giao thức

Để cấu hình numbered extended ACL trên Cisco router, đầu tiên tạo một extended ACL và kích hoạt ACL này trên một cổng giao diện. Dùng câu lệnh access-listđể tạo một entry với điều kiện cho bộ lọc. Cấu hình toàn bộnhư

sau:

Access-list access-list-number {permit | deny} protocol source source- wildcard [operator port] destination destination-wildcard [operator port]

[established] [log]

Bảng 3: Các tham số cho cấu hình numbered extended ACL

Biến số Mô tả

Access-list number Xác nhận một số trong dãy 100-199

hoặc 2000-2699

Permit | deny Chỉ ra entry này cho phép hay từ chối

đỉa chỉ cụ thể của gói tin

protocol IP, TCP, UDP, ICMP…

Source và destination Xác nhận địa chỉ nguồn và đích

Source-wildcard mask và destination- wildcard mask

Wildcard mask; bit 0 chỉ vị trí phù hợp, và bit 1 chỉ vị trí “don’t care”

mà ACL cấu hình. Thay vì sử dụng port, có thể sung tên thay thế như

Telnet, FTP hay SMTP.

establishhhed Chỉ sử dụng cho chiều vào của giao thức TCP. Cho phép luồng dữ liệu TCP thông qua nếu gói tin phản hồi từ

một phiên (session) xuất phát bên trong. Loại dữ liệu này có bật cờ ACK.

log Gởi một thông tin log đến cổng console

Ví dụ về sử dụng extended ACL với thông số established:

Trong ví dụ này, biến số established của extended ACL cho phép phản hồi luồng dữ liệu mà xuất phát từ mail host, địa chỉ 128.88.1.2, để trả về

trên cổng serial 0. Sự phù hợp xảy ra nếu TCP datagram có bật cờ ACK hay cờ

reset (RST), chỉ rằng gói tin này phụ thuộc vào kết nối hiện tại. Nếu không có biến số established, mail host chỉ nhận luồng dữ liệu SMTP nhưng không thể

gởi nó đi.

Access-list 102 permit tcp any host 128.88.1.2 established Access-list 102 permit tcp any host 128.88.1.2 eq smtp Interface serial 0

Ip access-group 102 in

Một phần của tài liệu GIÁO TRÌNH CCNA - Chương 4: Công nghệ WAN và bảo mật ppt (Trang 26 - 28)

Tải bản đầy đủ (PDF)

(183 trang)