© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1 ACL Quản trị mạng cơ bản © 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2 Nguyên lý cơ bản ACL Quản trị mạng cơ bản Presentation_ID 3 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD Tổng quan  Quản trị viên cần ngăn chặn những truy cập không mong muốn trong khi vẫn duy trì được các luồng lưu lượng cần thiết  Những chương trình bảo mật như password, thiết bị callback…vẫn có những thiếu hụt trong việc quản lý mềm dẻo, lọc lưu lượng  Ví dụ như quản trị viên cho phép user truy cập internet, nhưng không cho các user bên ngoài telnet vào hệ thống mạng bên trong  Router cung cấp thiết bị lọc lưu lượng với khả năng mở rộng, mềm dẻo cao, đó là access control lists (ACLs).  ACL là một danh sách điều khiển truy cập cho phép quản trị viên có thể thiết lập các quy tắc truy cập mạng  Bài học này sẽ giới thiệu với các anh chị về khái niêm ACL, các loại ACL như standard và extended. Presentation_ID 4 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD Tổng quan  Ngoài ra, bài này còn đưa ra: Các phương pháp, lời khuyên và hướng dẫn chi tiết cho việc sử dụng ACL Cấu hình cần thiết để tạo ACL Ví dụ về standard và extended ACL Áp dụng ACL như thế nào trên router? Presentation_ID 5 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD What are ACLs?  Note: bắt đầu bài này sẽ có nhiều khái niệm, các khái niệm này sẽ được mô tả rõ hơn trong phần sau của bài (cấu hình).  ACL là một tập hợp tuần tự các câu lệnh hay bộ lọc  Mỗi bộ lọc có 2 hành động chính sau: Deny (từ chối) Permit (cho phép)  Việc chấp nhận hay từ chối sẽ dựa vào tình huống cụ thể.  ACL sẽ được áp dụng trên interface hoặc line của router Presentation_ID 6 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD What are ACLs?  Router kiểm tra mỗi gói tin, xác định xem cần phải chuyển hay hủy gói tin đó dựa trên điều kiện của ACL  Điều kiện có thể xây dựng trên: IP nguồn IP đích UDP or TCP protocols upper-layer (TCP/UDP) port Presentation_ID 7 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD What are ACLs?  ACLs cần được xác định: per-protocol (IP, IPX, AppleTalk) per direction (in or out) per port (interface) basis.  ACL điều khiển lưu lượng theo 1 hướng trên router  Các ACL khác nhau cần phải tạo cho các hướng khác nhau: 1 cho in, 1 cho out  Mỗi interface có thể sử dụng nhiều giao thức và hướng khác nhau Presentation_ID 8 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD ACL làm việc thế nào  ACL là một tập hợp các bộ lọc (statement), mỗi bộ lọc sẽ xác định gói tin được chấp nhận hay bị từ chối  Mỗi bộ lọc ACL sẽ có 1 số thứ tự  Khi một bộ lọc khớp với gói tin, gói tin dó sẽ kiểm tra xem là cho phép hay từ chối. Khi đã khớp với một bộ lọc, router sẽ không so khớp gói tin với các bộ lọc tiếp theo  Mỗi ACL sẽ có một bộ lọc ẩn ở cuối ACL, bộ lọc này sẽ từ chối toàn bộ các gói tin. Điều này đồng nghĩa với việc, nếu gói tin không khớp với bộ lọc nào của ACL, nó sẽ bị xóa Presentation_ID 9 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD ACL làm việc như thế nào?  ACL statement (bộ lọc) hoạt động theo thứ tự logic.  Theo hướng top down  Nếu một gói tin khới với điều kiện, gói tin sẽ được cho phép đi qua hoặc từ chối  Chỉ có thể sử dụng 1 ACL cho 1 giao thức trên một interface theo một hướng nhất định  Có một bộ lọc ẩn deny any ở cuối các ACL  ACP không block các gói tin xuất phát từ chính router đó Presentation_ID 10 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential BKACAD Hai loại ACL  Standard IP ACLs Chỉ lọc được theo địa chỉ IP nguồn  Extended IP ACLs Có thể lọc theo: IP nguồn IP đích Giao thức (TCP, UDP, ICMP…) Port [...]... RouterB s1 1 1 e0 Sales s0 2 RouterC 1 e0 Engineering 172.16.30.3/24 172.16.30.2/24 172.16.50.3/24 172.16.50.2/24 Applying ACLs  Bạn có thể tạo ACL mà không sử dụng nó  ACL chỉ có hiệu lực khi nó được gắn lên interface mà thôi  Một trong những kinh nghiệm hay là đối với standard ACL, bạn nên gắn nó càng gần đích càng tốt (later) Xác định: In, Out, Source, and Destination • Out – khớp với những lưu... với từng bộ lọc theo thứ tự bộ lọc đó trong ACL  Các bộ lọc tạo ra sau sẽ add vào cuối ACL  Router sẽ tìm cho đến khi nào khớp thì thôi  Có lọc ẩn “deny any”, vì vậy nếu không khớp, gói tin sẽ bị từ chối  ACL một bộ lọc với hành động là “deny” được hiểu là từ chối toàn bộ mọi gói tin  Bạn cần phải có ít nhất một bộ lọc với hành động “permit” trong một ACL, nếu không toàn bộ lưu lượng sẽ bị lọc... IN access-list  Khi access list áp dụng theo chiều IN trên interface, các gói tin sẽ được check trước khi tham gia quá trình định tuyến  OUT ACL sẽ hoạt động, check sau khi gói tin được định tuyến bởi router  Khi gói tin bị từ chối bới ACL, router sẽ gửi bản tin ICMP “Destination unreachable”, với giá trị code là “Administratively Prohibited” tới nguồn gói tin RouterB(config)#access-list RouterB(config)#access-list...BKACAD Tạo Standard ACL – 2 bước Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 11 BKACAD Tạo Standard ACL – 2 bước (Standard IP) Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 12 BKACAD Ví dụ 172.16.20.0/24 s0... RouterB 1 e0 Sales 172.16.10.3/24 172.16.10.2/24 s1 1 s0 2 RouterC 1 e0 Engineering 172.16.30.3/24 172.16.30.2/24 172.16.50.3/24 172.16.50.2/24 Chú ý: vì mặc định có statement ẩn “deny any” ở cuối mỗi ACL, nên bạn phải thêm statement “ Access-list 10 permit any” để đảm bảo yêu cầu đề bài RouterB(config)#access-list 10 deny 172.16.30.2 RouterB(config)#access-list 10 permit any Implicit “deny any” -do... 172.16.10.3/24 172.16.10.2/24 172.16.40.0/24 RouterB s1 1 1 e0 Sales s0 2 RouterC 1 e0 Engineering 172.16.30.3/24 172.16.30.2/24 172.16.50.3/24 172.16.50.2/24 Bước 1: bộ lọc ẩn “deny any” được tạo ra ở cuối ACL Test Condition RouterB(config)#access-list 10 permit 172.16.30.2 Implicit “deny any” -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 (Standard... s0 RouterA 1 s0 1 2 RouterB s1 1 1 e0 e0 Sales Administration 172.16.10.3/24 172.16.10.2/24 172.16.40.0/24 s0 2 RouterC 1 e0 Engineering 172.16.30.3/24 172.16.30.2/24 172.16.50.3/24 172.16.50.2/24 Vì ACL đã có sẵn bộ lọc ẩn “deny any”, vì vậy nó có thể đáp ứng được yêu cầu đề bài RouterB(config)#access-list 10 permit 172.16.30.2 RouterB(config)#access-list 10 permit 172.16.30.3 RouterB(config)#access-list... access-list 10 deny ip any Presentation_ID (implicit) © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 26 BKACAD Wildcard Masks! Wildcard mask:  Để chỉ ra các địa chỉ IP nào khớp với bộ lọc của ACL Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 27 BKACAD Thời gian cho Wildcard Masks!  wildcard mask: 32 bit chia thành 4 octet  Sử dụng kèm với địa chỉ IP  Số... 1 s0 1 2 RouterB s1 1 1 e0 e0 Sales Administration 172.16.10.3/24 172.16.10.2/24 172.16.40.0/24 2 RouterC 1 e0 Engineering 172.16.30.3/24 172.16.30.2/24 s0 172.16.50.3/24 172.16.50.2/24 Đừng quên gán ACL lên interface RouterA(config)#access-list 11 permit 172.16.30.0 0.0.0.255 RouterA(config)#access-list 11 permit 172.16.50.2 0.0.0.0 RouterA(config)# interface e 0 RouterA(config-if)#ip access-group