Điềuquantrọng nhấtđốivớibấtkỳmộtkiếntrúcVLAN nàolàkhảnăng truyền tải
thông tin về VLAN giữa các switch được nối lại với nhau và với các router nằm trên mạ ng
đường trục. Đó là cơ chế truyền tải của VLAN cho phép các cuộc giao tiếp giữa các
VLAN trêntoànmạng.Cáccơ chếtruyềntảinày xóabỏràocản vềmặtvậtlý giữanh ững
ngườisửdụngvàtăngcườngtínhmềmdẽochomộtgiảiphápsửdụngVLANkhingười sử
dụng di dời và cung cấp các cơ chế cho khả năng phối hợp giữa các thành phần của hệ
thốngđườngtrục.
Hình 6.8 - Thiết kế VLAN xuyên qua Backbone
Biên soạn : Th.s Ngô Bá Hùng – 2005 71
ĐạiHọcCầnThơ–KhoaCôngNghệThôngTin–GiáoTrìnhThiếtKế&CàiĐặtMạng –V1.0
Đường trục thông thường hoạt động như là một điểm tập hợp của nhiều lư ợng
thông tin lớn. Nó có thể mang thông tin về những người dùng cuối trong VLAN và n hận
dạng giữa các switch, các router và các server nối trực tiếp. Với đường trục, băng th ông
lớn, các đường nối kết có khả năng lớn thường được chọn để chuyển tải thông tin xu yên
Biên soạn : Th.s Ngô Bá Hùng – 2005 72 ĐạiHọcCầnThơ–KhoaCôngNghệThôngTin–GiáoTrìnhThiếtKế&CàiĐặtMạng –V1.0
Chương 7
Danh sách điều khiển truy cập
(Access Control List) Mục đích
Chương này nhằm giới thiệu cho người đọc những vấn đề sau :
• Danhsáchtruycậplàgì
• Nguyên tắc hoạt động của danh sách truy cập • Danh sách truy cập trong chuẩn mạng TCP/IP
Biên soạn : Th.s Ngô Bá Hùng – 2005 73 ĐạiHọcCầnThơ–KhoaCôngNghệThôngTin–GiáoTrìnhThiếtKế&CàiĐặtMạng –V1.0
7.1 Giới thiệu
Các mạng có sử dụng chọn đường đầu tiên đã nối một tập nhỏ các mạng LAN và
các máy tính lại với nhau. Kế tiếp nhà quản trị mạng mở rộng các nối kết của router s ang
các mạng bên ngoài. Sự gia tăng của việc sử dụng Internet đã mang đến nhiều thách t hức
đối với việc điều khiển truy cập. Các công nghệ mới hơn như mạng đường trục bằng cáp
quang cho đến các dịch vụ băng thông rộng và những bộ hoán chuyển tốc độ cao đã l àm
giatăngnhiềuhơncáctháchthứctrongđiềukhiểntruycậpmạng.
Cácnhàquảntrị đangđốimặtvớicácvấnđềcótínhtiếnthoáilưỡng nannhư: Làm
sao từ chối các nối kết không mong muốn trong khi vẫn cho phép các truy cập hợp l ệ?
Mặc dù các công cụ như mật khẩu, các thiết bị phản hồi và các thiết bị an toàn vật lý thì
hữuích,chúngthường thiếusựdiễngiải mềmdẽovànhữngcơchếđiều khiểnmàhầu hết
Hình 7.1 – Vấn đề an ninh trong mạng diện rộng
Danhsáchtruycập(Accesslist)haycòngọiDanhsáchđiềukhiểntruycập(Acc ess
Control List) cung cấp một công cụ mạnh cho việc điều khiển mạng. Những danh sách n ày
đưa vào cơ chế mềm dẽo trong việc lọc dòng các gói tin mà chúng đi ra, đi vào các g iao
diện của các router. Các danh sách này giúp mở rộng việc bảo vệ các tài nguyên mạng mà
không làm ảnh hưởng đến những dòng giao tiếp hợp lệ. Danh sách truy cập phân biệt g iao
thông củacác gói tinra thànhnhiều chủngloại màchúng được phéphay bịtừ chối. D anh
sáchtruycậpcóthểđượcsửdụngđể:
Nhận dạng các gói tin cho việc xếp thứ tự ưu tiên hay sắp xếp trong hàng đợi
Hạn chế hoặc giảm nội dung của thông tin cập nhật chọn đường. Danhsáchtruycậpcũngxửlýcácgóitinchocáctínhnăngantoànkhácnhư:
Cung cấp cơ chế điều khiển truy cập động đối với các gói tin IP dựa và o cơ
chếnhậndạngngườidùngnângcao,sửdụngtínhnăngchìavàốngkhóa .
Nhận dạng các gói tin cho việc mã hóa
Nhận dạng các truy cập bằng dịch vụ Telnet được cho phép để cấu hình
router.
Biên soạn : Th.s Ngô Bá Hùng – 2005 74
ĐạiHọcCầnThơ–KhoaCôngNghệThôngTin–GiáoTrìnhThiếtKế&CàiĐặtMạng –V1.0