Bài giảng môn Thiết bị mạng - Chương 7: Danh sách kiểm tra truy cập (ACL)

pdf 40 trang phuongnguyen 3170
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng môn Thiết bị mạng - Chương 7: Danh sách kiểm tra truy cập (ACL)", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_mon_thiet_bi_mang_chuong_7_danh_sach_kiem_tra_truy.pdf

Nội dung text: Bài giảng môn Thiết bị mạng - Chương 7: Danh sách kiểm tra truy cập (ACL)

  1. CHƯƠNG 7 381
  2. Danh sách kiểm tra truy cập (ACL) Giới thiệu 382
  3. Danh sách kiểm tra truy cập (ACL) Giới thiệu „ ACL là một danh sách các điều kiện được áp dụng cho lưu lượng đi qua một cổng của router. Danh sách này cho biết loại gói nào được chấp nhận hay bị từ chối. „ ACL được sử dụng để quản lý lưu lượng mạng và bảo vệ truy cập ra hoặc vào hệ thống mạng. „ ACL kiểm tra các gói dựa vào địa chỉ nguồn và đích, giao thức, số port, hướng di chuyển của gói để quyết định chuyển gói đi hay hủy bỏ gói. 383
  4. Danh sách kiểm tra truy cập (ACL) Giới thiệu 384
  5. Danh sách kiểm tra truy cập (ACL) Giới thiệu 385
  6. Danh sách kiểm tra truy cập (ACL) Công dụng của ACL „ Giới hạn lưu lượng mạng để tăng hiệu suất hoạt động của mạng. „ Ví dụ cấm lưu lượng truyền Video. „ Kiểm tra dòng lưu lượng, quyết định cho phép hoặc cấm loại lưu lượng nào được đi qua. „ Ví dụ lưu lượng email, telnet. „ Bảo vệ truy cập. „ Chỉ cho phép user truy cập vào một loại tập tin nào đó, vào vùng mạng nào đótrong hệ thống. 386
  7. Danh sách kiểm tra truy cập (ACL) Hoạt động của ACL 387
  8. Danh sách kiểm tra truy cập (ACL) Phân loại ‰ ACL cơ bản (1-99): thực hiện kiểm tra địa chỉ IP nguồn của gói dữ liệu. ‰ ACL mở rộng (100-199): kiểm tra địa chỉ nguồn và đích của gói dữ liệu, kiểm tra giao thức lẫn số port. ‰ ACL đặt tên (Name): từ phiên bản Cisco IOS 11.2 trở đi, cho phép tạo ACL cơ bản và mở rộng theo tên thay vì theo số. 388
  9. Danh sách kiểm tra truy cập (ACL) Tạo ACL cơ bản ‰ Cú pháp lệnh: Router(config)#access-list access-list-number {deny | permit} source [source-wildcard ] Router(config-if)#{protocol} access-group access-list-number {in | out} ‰ Hủy một ACL: Router(config)#no access-list access-list-number 389
  10. Danh sách kiểm tra truy cập (ACL) Tạo ACL cơ bản 390
  11. Danh sách kiểm tra truy cập (ACL) Tạo ACL cơ bản 391
  12. Danh sách kiểm tra truy cập (ACL) Tạo ACL cơ bản 392
  13. Danh sách kiểm tra truy cập (ACL) Tạo ACL cơ bản 393
  14. Danh sách kiểm tra truy cập (ACL) Một số nguyên tắc cơ bản khi tạo ACL „ Một ACL cho một giao thức trên một chiều của một cổng. „ ACL cơ bản nên đặt ở vị trí gần mạng đích nhất. „ ACL mở rộng nên đặt ở vị trí gần mạng nguồn nhất. „ Các câu lệnh trong một ACL sẽ được kiểm tra tuần tự từ trên xuống cho đến khi có một câu lệnh được thoả, nếu không thì gói dữ liệu đócũng sẽ bị từ chối. 394
  15. Danh sách kiểm tra truy cập (ACL) Một số nguyên tắc cơ bản khi tạo ACL „ Có một câu lệnh từ chối tuyệt đối nằm ẩn ở cuối cùng trong ACL. „ Các câu lệnh trong ACL nên xếp từ chi tiết đến tổng quát. „ Trong một câu lệnh ACL, điều kiện được kiểm tra trước rồi mới kiểm tra tới việc cho phép hay từ chối. „ Nên sử dụng công cụ soạn thảo văn bản để soạn trước các câu lệnh ACL. „ Dòng lệnh mới luôn được thêm vào cuối danh sách ACL. „ Lệnh no access-list x sẽ xóa tòan bộ ACL x. 395
  16. Danh sách kiểm tra truy cập (ACL) Wildcard mask 396
  17. Danh sách kiểm tra truy cập (ACL) Wildcard mask MASK (192.168.1.1) Matching IP 0.0.0.0 (host) 192.168.1.1 0.0.0.255 192.168.1.0-255 0.0.255.255 192.168.0-255.0-255 0.255.255.255 192.0-255.0-255.0-255 255.255.255.255 0-255.0-255.0-255.0-255 (any) 397
  18. Danh sách kiểm tra truy cập (ACL) Wildcard mask 398
  19. Danh sách kiểm tra truy cập (ACL) Từ khóa Any và Host Access-list 1 permit 0.0.0.0 255.255.255.255 hay permit any Access-list 1 permit 200.0.0.9 0.0.0.0 hay permit host 200.0.0.9 399
  20. Danh sách kiểm tra truy cập (ACL) Từ khóa Any và Host 400
  21. Danh sách kiểm tra truy cập (ACL) Tạo ACL mở rộng 401
  22. Danh sách kiểm tra truy cập (ACL) Tạo ACL mở rộng 402
  23. Danh sách kiểm tra truy cập (ACL) Tạo ACL mở rộng 403
  24. Danh sách kiểm tra truy cập (ACL) Tạo ACL mở rộng 404
  25. Danh sách kiểm tra truy cập (ACL) Tạo ACL mở rộng 405
  26. Danh sách kiểm tra truy cập (ACL) Tạo ACL mở rộng 406
  27. Danh sách kiểm tra truy cập (ACL) Tạo ACL mở rộng 192.168.0.9 192.168.0.5 255.255.255.252 255.255.255.252 S0 S0 S1 192.168.0.33 S0 192.168.0.6 192.168.0.10 E0 255.255.255.240 192.168.0.17 E0 255.255.255.252 255.255.255.252 255.255.255.248 192.168.0.34 255.255.255.240 A B 192.168.0.18 255.255.255.248 192.168.0.34 should be denied FTP of 192.168.0.18 192.168.0.18 should be denied website of 192.168.0.34 On Router R3 On Router R1 Config# Access-list 100 deny tcp 192.168. 0.18 0.0.0.0 192.168.0.34 0.0.0.0 eq 80 Config# Access-list 100 deny tcp 192.168.0.34 0.0.0.0 Config# access-list 100 permit IP any any 192.168.0.18 0.0.0.0 eq 21 Config# access-list 100 permit IP any any Config#int s0 Config-if# ip access-group 100 IN Config#int s0 407 Config-if# ip access-group 100 IN
  28. Danh sách kiểm tra truy cập (ACL) Tạo ACL đặt tên 408
  29. Danh sách kiểm tra truy cập (ACL) Tạo ACL đặt tên 409
  30. Danh sách kiểm tra truy cập (ACL) Tạo ACL đặt tên 410
  31. Danh sách kiểm tra truy cập (ACL) Kiểm tra ACL 411
  32. Danh sách kiểm tra truy cập (ACL) Kiểm tra ACL 412
  33. Danh sách kiểm tra truy cập (ACL) Xử lý sự cố ACL 413
  34. Danh sách kiểm tra truy cập (ACL) Xử lý sự cố ACL 30 per mit ip any any 414 UDP
  35. Danh sách kiểm tra truy cập (ACL) Xử lý sự cố ACL 415
  36. Danh sách kiểm tra truy cập (ACL) Xử lý sự cố ACL 416
  37. Danh sách kiểm tra truy cập (ACL) Xử lý sự cố ACL 417
  38. Danh sách kiểm tra truy cập (ACL) Vị trí đặt ACL Source 10.0.0.0/8 Destination 172.16.0.0/16 418
  39. Danh sách kiểm tra truy cập (ACL) Vị trí đặt ACL 419
  40. Danh sách kiểm tra truy cập (ACL) Vị trí đặt ACL 420