Đang tải... (xem toàn văn)
HỆ ĐIỀU HÀNH MẠNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG THÁI NGUYÊN
Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng CHƯƠNG 1: GIỚI THIỆU VỀ MẠNG DIỆN RỘNG 1.1 Giới thiệu WAN WAN (Wide Area Network) mạng thiết lập để liên kết máy tính hai hay nhiều khu vực khác cách xa mặt địa lý Các WAN kết nối mạng người sử dụng qua phạm vi địa lý rộng lớn, nên chúng mở khả cung ứng hoạt động thông tin cự ly xa cho doanh nghiệp Sử dụng WAN cho phép máy tính, máy in thiết bị khác LAN chia sẻ chia sẻ với vị trí xa WAN cung cấp truyền thơng tức thời qua miền địa lý rộng lớn Khả truyền thơng điệp đến nơi đâu giới tạo khả truyền thông tương tự dạng truyền thông hai người vị trí địa lý Phần mềm chức cung cấp truy xuất thông tin tài nguyên thời gian thực cho phép hội họp tổ chức từ xa Thiết lập mạng diện rộng tạo lớp nhân công gọi telecommuter, người làm việc mà chẳng rời khỏi nhà Các WAN thiết kế để làm công việc sau: Hoạt động qua vùng tách biệt mặt địa lý Cho phép người sử dụng có khả thơng tin thời gian thực với người sử dụng khác Cung cấp kết nối liên tục tài nguyên xa vào dịch vụ cục Cung cấp Email, www, FTP dịch vụ thương mại điện tử Các công nghệ WAN phổ biến bao gồm: Modem ISDL DSL Frame Relay Các đường truyền dẫn số theo chuNn Bắc Mỹ châu Âu T1, E1, T3, E3 Mạng quang đồng SON ET Các thiết bị WAN bao gồm: Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Hình 1.1 Các thiết bị kết nối WAN 1.2 Các thiết bị kết nối WAN 1.2.1 Lớp vật lý WAN Các thực thực tế lớp vật lý thay đổi tùy vào khoảng cách thiết bị đến dịch vụ, tốc độ than dịch vụ Các kết nối nối tiếp dùng để hỗ trợ dịch vụ WAN đường dây thuê riêng chạy PPP hay Frame Relay Tốc độ kết nối dải từ 2400 bps đến T1 tốc độ 1,544 Mbps E1 tốc độ 2,048 Mbps ISDN cung cấp dịch vụ quay số theo yêu cầu Một dịch vụ giao tiếp tốc độ (BRI) cấu thành từ hai kênh truyền dẫn 64 kbps (kênh B)cho số liệu kênh delta tốc độ 16kbps (kênh D) dùng cho báo hiệu tác vụ quản lý liên kết khác PPP thường dùng để truyền dẫn số liệu qua kênh D Với tăng nhu cầu dịch vụ tốc độ cao, băng thông rộng khu vực dân cư, kết nối DSL modem cáp phổ dụng 1.2.2 Các kết nối WAN nối tiếp Trong truyền thông đường dài, WAN dùng dạng đường dẫn nối tiếp Đây trình truyền bit số liệu nối tiếp qua kênh đơn Tiến trình cung ứng truyền thông đường dài tin cậy dùng dải tần số ánh sáng hay điện tử đặc biệt Các tần số đo theo số chu kỳ giây biểu diễn theo Hz Kích thước dải tần xem băng thông đo theo số bit truyền giây Đối với Cisco router, kết nối vật lý phía khách hàng cung cấp hay hai loại kết nối nối tiếp N ếu kết nối nối trực tiếp với nhà cung cấp dịch vụ hay thiết bị cung cấp tín hiệu định thời CSU/DSU (Channel Service Unit/Data Service Unit), router thiết bị đầu cuối Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng (DTE) dùng cáp DTE Tuy nhiên, có số trường hợp mà router cục yêu cầu cung cấp tín hiệu định thời dùng cáp DCE Hình 1.2 Các kết nối WAN nối tiếp 1.2.3 Router kết nối nối tiếp Các router chịu trách nhiệm định tuyến gói liệu từ nguồn đến đích LAN để cung cấp kết nối đến WAN Trong môi trường LAN router chứa broadcast, cung cấp dịch vụ phân dải địa cục ARP, RARP chia mạng cách dùng cấu trúc mạng Để cung ứng dịch vụ router phải kết nối LAN WAN Hình 1.3.1 Kết nối nối tiếp DTE DCE N hằm xác định loại cáp, cần phải xác định đầu nối DTE hay DCE DTE điểm thiết bị người sử dụng liên kết WAN DCE điểm thông thường chịu trách nhiệm chuyển giao số liệu đến nhà cung cấp dịch vụ Khi nối cáp loại nối tiếp cho router, router có port cố định hay gắn linh động (modular port) Các giao tiếp router cố định đánh nhãn theo loại port số port Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Hình 1.3.2 Các giao tiếp cố định Các giao tiếp router linh động ghi nhãn theo loại port, khe (slot) số port Khe vị trí module Để cấu hình port card rời, cần phải giao tiếp cách dùng cú pháp “port type slot number/port number” Dùng nhãn “serial 0/1” giao tiếp nối tiếp, số khe nơi module gắn vào port tham chiếu đến Hình 1.3.3 Các giao tiếp serial port dạng module 1.2.4 Router kết nối ISDN BRI Với ISDN BRI, hai loại giao tiếp dùng BRI/S BRI/U Xác định cung cấp thiết bị kết cuối mạng N T1 để xác định loại giao tiếp cần N T1 thiết bị trung gian nằm router tổng đài ISDN nhà cung cấp Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng dịch vụ Để kết nối port ISDN BRI đến thiết bị nhà cung cấp dịch vụ dùng cáp UTP Cat straight-through Lưu ý, gắn cáp nối từ ISDN BRI port vào ISDN jack hay tổng đài ISDN Hình 1.3.4 Nối cáp router cho cầu nối ISDN 1.2.5 Router kết nối DSL Để nối router với dịch vụ DSL, dùng cáp điện thoại với đầu nối RJ-11 DSL làm việc qua đường dây điện thoại chuNn dùng chân đầu nối RJ-11 Hình 1.5 Kết nối router cho dịch vụ DSL 1.2.6 Thực kết nối console Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Để bắt đầu cấu hình thiết bị Cisco, kết nối quản trị phải thực trực tiếp đến thiết bị qua cổng console thiết bị Cổng cosonle cho phép giám sát cấu hình Cisco hub, switch hay router Cáp dùng đầu cuối cổng console cáp đảo (rollover cable) Kết nối thiết bị cáp đảo từ cổng console đến cổng nối tiếp máy tính làm đầu cuối (cổng COM) sau cấu hình ứng dụng mô đầu cuối với thông số cài đặt cho cổng nối tiếp (COM) máy tính sau: Speed: 9600 bps Format: data bit Parity: no Stop bits: Flow control: no Cổng AUX dùng để cung cấp quản lý thông qua modem Cổng AUX cấu hình theo cách thức cổng console Hình 1.6 Thiết lập kết nối qua cổng console 1.3 Router WAN Router loại máy tính đặc biệt N ó có thành phần giống máy tính: CPU, nhớ, hệ thống Bus cổng giao tiếp Tuy nhiên router thiết kế để kết nối hai hệ thống mạng cho phép hai hệ thống liên lạc với nhau, ngồi router cịn thực việc chọn đường tốt cho liệu Các thành phần bên router bao gồm: nhớ RAM, N VRAM, nhớ flash, ROM cổng giao tiếp Đặc điểm chức RAM: Lưu bảng định tuyến Lưu bảng ARP Có vùng nhớ chuyển mạch nhanh Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Cung cấp nhớ đệm cho gói liệu Duy trì hàng đợi cho gói liệu Cung cấp nhớ tạm thời cho tập tin cấu hình router hoạt động Thơng tin RAM bị xóa router khởi động lại hay điện Đặc điểm chức NVRAM: Lưu giữ tập tin cấu hình khởi động router N ội dung tập tin lưu giữ khởi động lại router Đặc điểm chức ROM: Lưu giữ câu lệnh chương trình tự kiểm tra khởi động _POST ( Power-on Self Test) Lưu chương trình bootstrap hệ điều hành Để nâng cấp phần mềm ROM phải thay chip mainboard Đặc điểm chức cổng giao tiếp: Kết nối Router vào hệ thống mạng để nhận chuyển gói liệu Các cổng gắn trực tiếp mainboard hay dạng card rời 1.4 Đặc điểm vật lý Router Cấu trúc router khác tùy vào phiên bao gồm thành phần sau: CPU – Đơn vị xử lý trung tâm: thực thi câu lệnh hệ điều hành để thực nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển cổng giao tiếp mạng RAM: Được dùng để lưu bảng định tuyến, cung cấp nhớ cho chuyển mạch nhanh, chạy tập tin cấu hình cung cấp hàng đợi cho gói liệu RAM chia thành hai phần: phần nhớ xử lý nhớ chia sẻ xuất/nhập Tồn nội dung RAM bị xóa điện Flash: Bộ nhớ Flash sử dụng để lưu toàn hệ điều hành Cisco IOS Mặc định router tìm IOS flash NVRAM ( None-volative Random-access Memory ): Là nhớ RAM không bị thông tin điện, sử dụng để lưu tập tin cấu hình BUS: Phần lớn router có bus hệ thống CPU bus Bus hệ thống sử dụng để thông tin liên lạc CPU với cổng giao tiếp khe mở rộng Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng CPU sử dụng CPU bus để truy xuất thành phần router thông qua nhớ router ROM ( Read Only Memory): Là nơi lưu đoạn mã chương trình kiểm tra khởi động N hiệm vụ ROM kiểm tra phần cứng router khởi động, sau chép phần mềm Cisco IOS từ flash vào RAM Các cổng giao tiếp: Là nơi router kết nối với bên ngồi Router có ba loại cổng: LAN , WAN console Cổng giao tiếp LAN thường cổng Ethernet Token Ring Cổng giao tiếp WAN cổng Serial, ISDN , cổng tích hợp đơn vị dịch vụ kênh CSU ( Channel Service Unit ) Cổng console/AUX cổng giao tiếp chủ yếu sử dụng để cấu hình router Hình 1.8 Cấu trúc vật lý router 1.5 Vai trò Router WAN Chức chủ yếu router định tuyến Hoạt động định tuyến diễn Lớp 3, cung cấp kết nối mạng WAN với chuNn vật lý liên kết liệu khác Ví dụ: router có giao tiếp ISDN sử dụng kiểu đóng gói PPP giao tiếp nối tiếp T1 sử dụng kiểu đóng gói FrameRelay Router phải có khả chuyển đổi luồng bit từ loại dịch vụ sang loại dịch vụ khác Ví dụ: chuyển đổi từ dịch vụ ISDN sang dạng T1, đồng thời chuyển kiểu đóng gói lớp Liên kết liệu từ PPP sang FrameRelay Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng CHƯƠNG CẤU HÌNH ROUTER 2.1 Khái niệm cấu hình Router Cấu hình router sử dụng phương pháp khác để định cấu hình cho router thực chức cụ thể: liên kết leased line, liên kết dial-up, firewall, Voice Over IP… trường hợp cụ thể Đối với Cisco Router thường có 03 phương pháp để định cấu hình cho router: Sử dụng CLI: CLI chữ viết tắt Command Line Interface, cách cấu hình áp dụng cho hầu hết thiết bị Cisco N gười sử dụng dùng dịng lệnh nhập từ Terminal (thơng qua port Console hay qua phiên Telnet) để định cấu hình cho Router Sử dụng Chương trình ConfigMaker: ConfigMaker chương trình hỗ trợ cấu hình cho Router từ 36xx trở xuống Cisco Chương trình cung cấp giao diện đồ họa Wizard thân thiện, trình bày dạng “Question – Answer”, giúp cho việc cấu hình router trở nên đơn giản N gười sử dụng khơng cần nắm vững câu lệnh Cisco mà cần kiến thức hệ thống cấu hình router Tuy nhiên ngồi hạn chế số sản phNm router hỗ trợ trên, chương trình không cung cấp đầy đủ tất tính router khơng có khả tuỳ biến theo yêu cầu cụ thể đặc thù Hiện version ConfigMaker ConfigMaker 2.4 Sử dụng chương trình FastStep: Khác với chương trình ConfigMaker, FastStep cung cấp dựa loại sản phNm cụ thể Cisco Ví dụ với Cisco router 2509 có FastStep for Cisco Router 2509… Chương trình cung cấp bước để cấu hình tính cho loại sản phNm Các bước cấu hình trình bày dạng giao diện đồ họa, “Question – Answer” nên dễ sử dụng Tuy chương trình ConfigMaker, FastStep hỗ trợ cho số sản phNm cấp thấp Cisco giúp cấu hình cho số chức router Tóm lại, việc sử dụng CLI để cấu hình Cisco Router phức tạp cách cấu hình router thường gặp Hiểu biết việc cấu hình CLI giúp người sử dụng linh hoạt việc cấu hình dễ dàng khắc phục cố Hiện việc sử dụng CLI kết hợp với 02 cách cấu hình cịn lại để đNy nhanh tốc độ cấu hình router Khi đó, chương trình cấu hình sử dụng để tạo file cấu hình thơ, phương pháp CLI sử dụng sau để tùy biến hay thực tác vụ mà chương trình khơng thực Trong tài liệu hướng dẫn cấu hình phương pháp CLI – phương pháp dùng dòng lệnh 2.2 Cấu trúc router Cấu trúc router vấn đề cần biết trước cấu hình router Cấu trúc router trình bày hình 2.1 Khoa CNTT- Bài giảng mơn Công nghệ thiết bị mạng -Các thành phần router bao gồm: N VRAM: N VRAM (N onvolatile random-access memory) loại RAM lưu lại thơng tin khơng cịn nguồn ni Trong Cisco Router N VRAM thường có nhiệm vụ sau: Chứa file cấu hình startup cho hầu hết loại router ngoại trừ router có Flash file system dạng Class A (7xxx) Chứa Software configuration register, sử dụng để xác định IOS image dùng trình boot router Flash memory: Flash memory chứa Cisco IOS software image Đối với số loại, Flash memory chứa file cấu hình hay boot image Tùy theo loại mà Flash memory EPROMs, single in-line memory (SIMM) module hay Flash memory card: Internal Flash memory: o Internal Flash memory thường chứa system image o Một số loại router có từ Flash memory trở lên dạng single inline memory modules (SIMM) N ếu SIMM có bank gọi dual-bank Flash memory Các bank phân thành nhiều phần logic nhỏ Bootflash o Bootflash thường chứa boot image o Bootflash chứa ROM Monitor Flash memory PC card hay PCMCIA card Flash memory card dủng để gắn vào Personal Computer Memory Card International Association (PCMCIA) slot Card dùng để chứa system image, boot image file cấu hình Các loại router sau có PCMCIA slot: o Cisco 1600 series router: 01 PCMCIA slot o Cisco 3600 series router: 02 PCMCIA slots o Cisco 7200 series N etwork Processing Engine (N PE): 02 PCMCIA slots o Cisco 7000 RSP700 card 7500 series Route Switch Processor (RSP) card chứa 02 PCMCIA slots DRAM: Dynamic random-access memory (DRAM) bao gom 02 loại: Primary, main, hay processor memory, dành cho CPU dùng để thực Cisco IOS software lưu giữ running configuration bảng routing table Shared, packet, or I/O memory, which buffers data transmitted or received by the router's network interfaces Tùy vào IOS phần cứng mà phải nâng cấp Flash RAM DRAM ROM Read only memory (ROM) thường sử dụng để chứa thông tin sau: 10 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Mỗi giao thức định tuyến có cách tính chi phí khác ta cần phải cấu hình chi phí để router thực chia tai Khi router có nhiều đường có số tin cậy chi phí đến đích router thực việc chia tải Thơng thường router có khả chia tải đến đường có chi phí (thói hạn tối đa số đường chia tải phụ thuộc vào bảng định tuyến Cisco IOS ), nhiên số giao thức định tuyến nội (IGP) có giới hạn riêng Ví dụ EIGRP co phép tối đa đương Mặc định hầu hết giao thức định tuyến IP chia tải đường Đường cố định chia tải đường Chỉ riêng BGP ngoại lệ, mặc định BGP cho phép định tuyến đường đến đích Số đường tối đa mà router chia tải từ đến đường Để thay đổi số đường tối đa cho phép ta sử dụng lệnh sau: Router(config-router)#maximum-paths [number] IGRP chia tải lên tối đa đường RIP dựa vào số lượng hop để chọn đường chia tải, IGRP dựa vào băng thông để chọn đường chia tải Khi định tuyến IP, Cisco IOS có chế chia tải là: Chia tải theo gói liệu chia tải theo địa đích N ếu router chuyển mạng theo tiến chình router chia gói liệu đường Cách gọi chia tải theo gói liệu Cịn router chuyển mạch nhanh router chuyển tất gói liệu đến đích đường Các gói liệu đến hop khác mạng đích tải đường Cách gọi chia tải theo địa đích 4.10 Tích hợp đường cố định với RIP Đường cố định người quản trị cấu hình cho router chuyển gói tơi mạng đích theo đường mà muốn Mặt khác, lệnh để cấu hình đường cố định sử dụng để khai báo cho đường mặc định Trong trường hợp router khơng tìm thấy đường bảng định tuyến để chuyển gói đến mạng đích router sử dụng đường mặc định Router chạy RIP nhận thơng tin đường mặc định từ thông tin cập nhật router RIP láng giềng khác Hoặc thân router cấu hình đường mặc định cập nhật thơng tin định tuyến cho router khác Ta xoá đường cố định lệnh no ip router người quản trị mạng cấu hình đường cố định bên cạnh định tuyến động Mỗi giao thức định tuyến động 58 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng có số tin cậy (AD) mặc định N gười quản trị mạng cấu hình đường cố định tới mạng đích với đường định tuyến động với số AD lớn số AD giao thức định tuyến động tương ứng Khi đó, đường định tuyến động có số AD nhỏ nên luôn router chọn lựa trứơc Khi đường định tuyến động bị cố không sử dụng router sử dụng tới đường cố định để chuyển gói liệu đến mạng đích N ếu ta cấu hình đường cố định cổng RIP chạy cổng RIP gửi thông tin cập nhật đường cố định cho tồn hệ thống mạng Vì đó, đường cố định xem kết nối trực tiếp vào router nên khơng cịn chất đường cố định N ếu ta cấu hình đường cố định cổng mà RIP không chạy cổng RIP khơng gửi thơng tin cập nhật đường cố định đó, chừ ta phải cấu hình thêm lệnh redistribute static cho RIP Khi cổng giao tiếp bị ngắt tất đường cố định cổng bị xố khỏi bảng định tuyến Tương tự vậy, router không xác định trạm đường cố định cho gói liệu tới mạng đính đường cố định khỏi bảng định tuyến 59 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng CHƯƠNG 5: DANH SÁCH TRUY CẬP ACLs 5.1 Cơ Danh sách kiểm tra truy cập 5.1.1 ACL ? ACLs danh sách điều kiện áp dụng cho lưu lượng qua cổng Router Danh sách cho phép Router biết loại gói chấp nhận hay bị từ chối dựa điều kiện cụ thể ACL sử dụng để quản lý lưu lượng mạng bảo vệ truy cập vào hệ thống mạng ACL tạo cho tất giao thức định tuyến IP (Internet Protocol) IPX (Internetwork Packet Exchange) ACL cấu hình router để kiểm tra việc truy cập mạng hay subnet Hình 5.1 Ví dụ ACL ACL lọc tải cách kiểm tra việc chuyển gói định tuyến xong chặn gói vào cổng router Router kiểm tra gói để định chuyển gói hay hủy bỏ gói tùy vào điều kiện ACL như: địa nguồn đích, giao thức số port lớp 60 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Hình 5.2 Cấu trúc gói liệu Một số nguyên nhân để tạo ACLs: Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động mạng Ví dụ, cách giới hạn lưu lượng truyền video, ACLs làm giảm tải đáng kể làm tăng hiệu suất mạng Kiểm tra dòng lưu lượng ACLs giới hạn thơng tin truy cập định tuyến Cung cấp chế độ bảo vệ truy cập ACLs cho phép host truy cập vào phần hệ thống mạng ngăn không cho host khác truy cập vào khu vực Quyết định loại lưu lượng phép cho qua hay chặn lại cơng router Ví dụ, lưu lượng Email phép cho qua tất lưu lượng telnet bị chặn lại Cho phép người quản trị mạng điều khiển phạm vi mà Client quyền truy cập vào hệ thống mạng Kiểm tra host phép hay từ chối không cho truy cập vào khu vực hệ thống N ếu router khơng có cấu hình ACLs tất gói chuyển đến vị trí hệ thống mạng 5.1.2 ACLs làm việc Mỗi ACLs danh sách câu lệnh xác định gói liệu chấp nhận hay từ chối chiều hay chiều vào cổng Router Mỗi câu lệnh có điều kiện kết chấp nhận hay từ chối tương ứng N ếu thoả điều kiện câu lệnh định chấp nhận hay từ chối thực 61 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Thứ tự đặt câu lệnh ACLs quan trọng.Phần mềm Cisco IOS kiểm tra gói liệu với câu lệnh theo thứ tự từ xuống N ếu thoả điều kiện câu lệnh gói liệu chấp nhận hay từ chối tồn câu lệnh cịn lại ACLs khơng phải kiểm tra N ếu không thoả điều kiện tất câu lệnh ACLs mặc định cuối danh sách ln có câu lệnh Nn “deny any” (từ chối tất cả) N ếu bạn cần thêm câu lệnh vào ACLs bạn phải xố tồn ACLs tạo lại ACLs có câu lệnh Hình 5.3 Sơ đồ làm việc ACLs 5.1.3 Tạo ACLs ACLs tạo chế độ cấu hình tồn cục Có nhiều loại ACLs khác nhau, bao gồm: ACL bản, ACL mở rộng, ACL cho IPX, AppleTalk giao thức khác Khi cấu hình ACLs router ACL có số xác định Hình 5.4 Các thơng số cấu hình ACL Bắt đầu tạo ACLs từ khóa access-list, theo sau tham số tương ứng lệnh Trong chế độ chế độ cấu hình cổng router, dùng lệnh access-group để gán 62 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng ACL tương ứng vào cổng Khi gán ACL cho cổng , cần xác định cụ thể ACL áp dụng cho chiều hay vào cổng router Để thay đổi ACL, dùng lệnh no access-list list-number để xóa tất câu lệnh access-list có list-number Các nguyên tắc tạo gán ACLs: Một ACL cho giao thức chiều cổng ACL nên đặt vị trí gần mạng đích ACL mở rộng nên đặt gần mạng nguồn Đứng router để xác định chiều hay vào cổng router Các câu lệnh ACL kiểm tra từ xuống có câu lệnh thỏa N gược lại, khơng có câu lệnh ACL gói liệu bị từ chối Hình 5.5 Cấu hình ACL cho router Trong thực tế, lệnh danh sách truy cập xâu kí tự dài Các danh sách truy cập phức tạp nhập vào dịch ra.Tuy nhiên, bạn đơn giản hố lệnh định cấu hình cho danh sách truy cập chung cách giảm lệnh hai phần tử chung Mơ hình tạo ACL: Bước 1: Tạo thơng số cho câu lệnh kiểm tra danh sách truy cập (có thể vài câu lệnh): Router(config)#access-list access-list-number {permit | deny} {test condition} Bước 2: Cho phép giao diện trở thành phần nhóm, nhóm mà sử dụng danh sách truy cập xác định (kích hoạt access list interface) Router(config-ip)#{protocol} access-group access-list-number {in | out} 63 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng access-list-number số hiệu phân biệt access list với nhau, đồng thời cho biết loại access list (standard hay extended) Cập nhật danh sách truy cập: N ếu câu lệnh điều kiện thêm vào cần thiết danh sách truy cập cập nhật tồn ACL phải xố tạo lại với câu lệnh điều kiện Xác định ACLs nào? Mỗi ACL xác định cách gán số (hoặc tên) cho Số xác định kiểu danh sách truy cập tạo phải nằm phạm vi giới hạn đặc biệt số: Một ACL số hố khơng thể bị hiệu chỉnh router Để hiệu chỉnh ACL: Bước 1: Copy tới file văn Bước 2: Gỡ bỏ từ cấu hình router với ‘no’ hình dạng câu lệnh ACL Bước 3: Tạo thay đổi cần thiết cho lile văn Bước 4: Dán trở lại chế độ cấu hình chung 5.1.4 Chức wildcard mask 64 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Một wildcard mask dài 32 bit chia làm Octet Mỗi wildcard mask với địa IP Số bit wildcard mask sử dụng để xác định cách xử lý bit tương ứng địa IP Hình 5.6 Cấu trúc wildcard mask địa IP Subnet mask có chuỗi bit trái kéo dài sang phải để xác định phần host phần mạng địa IP Trong wildcard mask thiết kế để lọc địa IP riêng lẻ hay nhóm địa IP phép hay từ chối truy cập dựa địa IP Giá trị wildcard mask có ý nghĩa khác với bit subnet mask Để tránh nhầm lẫn, chữ x sử dụng để thay bit wildcard mask Ví dụ, wildcard mask 0.0.255.255 Bit có nghĩa bit tương ứng địa IP phải kiểm tra, cịn bit x (bit 1) có nghĩa bit tương ứng địa IP bỏ qua khơng cần kiểm tra Trong q trình wildcard mask, địa IP câu lệnh kết hợp với wildcard mask câu lệnh để tính giá trị chuNn Giá trị dùng để so sánh với địa gói liệu kiểm tra câu lệnh ACL N ếu hai giá trị giống có nghĩa điều kiện địa thỏa mãn Có hai từ khóa đặc biệt sử dụng ACLs any host Any đại diện cho IP 0.0.0.0 wildcard mask 255.255.255.255, host đại diện cho wildcard mask 0.0.0.0 65 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Hình 5.7 Quá trình kết hợp IP wildcard mask 5.1.5 Kiểm tra ACLs Có nhiều lệnh show sử dụng kiểm tra nội dung vị trí đặt ACLs router Lệnh show ip interface hiển thị thông tin cổng IP router cho biết có ACLs đặt cổng hay khơng Lệnh show access-lists hiển thị nội dung tất ACLs router Để xem cụ thể ACL cần thêm tên số vào sau câu lệnh show access-lists Hình 5.8 Ví dụ lệnh show 66 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng 5.2 Danh sách kiểm tra truy cập 5.2.1 ACLs ACLs thực kiểm tra địa IP nguồn gói liệu Kết kiểm tra dẫn đến kết cho phép hay từ chối truy cập toàn giao thức dựa địa mạng, subnet hay host Trong chế độ cấu hình tồn cục, lệnh access-list sử dụng để tạo ACL với số ACL nằm khoảng từ đến 99 Ví dụ: Access-list deny 172.16.1.1 Access-list permit 172.16.1.0 0.0.0.255 Access-list deny 172.16.0.0 0.0.255.255 Access-list permit 172.0.0.0 0.255.255.255 Câu lệnh ACL wildcard mask, trường hợp wildcard mask mặc định sử dụng 0.0.0.0 Điều có nghĩa toàn địa 172.16.1.1 phải thỏa, khơng router phải kiểm tra câu lệnh ACL 67 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Hình 5.9 Hoạt động ACL Cấu trúc đầy đủ lệnh ACL bản: Router(config)#access-list access-list-number {deny / permit} Source [ source wildcard ] [ log ] Dạng no câu lệnh sử dụng để xóa ACLs: Router(config)#no access-list access-list-number 5.2.2 ACLs mở rộng ACLs mở rộng thường sử dụng nhiều ACLs có khả kiểm sốt lớn nhiều ACLs mở rộng kiểm tra điạ nguồn đích gói liệu, kiểm tra giao thức với số cổng Do thuận tiện việc cấu hình điều kiện kiểm tra cho ACL Gói liệu chấp nhận hay từ chối dựa vị trí xuất phát đích đến gói liệu với loại giao thức số cổng Ví dụ, ACL mở rộng cho phép lưu lượng Email từ cổng Fa0/0 cổng S0/0 từ chối lưu lượng Web FTP Khi gói liệu bị hủy bỏ bị từ chối, số giao thức gửi thông điệp phản hồi cho máy gửi để thông báo liệu khơng đến đích Trong ACL có nhiều câu lệnh Các câu lệnh có số ACL nằm danh sách ACL Có thể cấu hình số lượng ACL với số lượng không hạn chế phụ thuộc vào dung lượng nhớ router Ví dụ: Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data Ở cuối câu lệnh ACL mở rộng có thơng số số port TCP UDP để xác định xác loại gói liệu Có thể xác định số port tham số eq (equal: bằng), neq (not equal: không bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn) ACL mở rộng sử dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 IOS gần đây) Lệnh ip access-group sử dụng để gán ACL mở rộng có vào cổng router Một ACL cho giao thức cho chiều cổng Ví dụ: Router(config-if)#ip access-group access-list-number {in | out} 68 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng 5.2.3 Đặt tên ACLs Đặt tên ACLs có ưu điểm sau: Xác định ACL tên mang tính trực giác ACLs đặt tên chỉnh sửa mà khơng cần phải xóa tồn ACLs viết lại từ đầu ACLs đặt theo số Khơng cịn bị giới hạn tối đa 798 ACLs 799 ACLs mở rộng Ví dụ cấu hình đặt tên ACL: TN (config)#ip access-list extended server-access TN (config-ext-nacl)#permit TCP any TN (config-ext-nacl)#permit TN (config-ext-nacl)#deny host 131.108.101.99 eq mstp UDP any host 131.108.101.99 eq domain ip any any TN (config-ext-nacl)#^Z Applying the name list: TN (config)#interface TN (config-if)#ip fastethernet 0/0 access-group server-access out TN (config-if)#^Z Những điểm cần lưu ý thực đặt tên ACLs: ACLs đặt tên khơng tương thích với Cisco IOS phiên trước 11.2, Không sử dụng chung tên cho nhiều ACLs khác Ví dụ, khơng thể có ACL ACLs mở rộng có tên TN 5.2.4 Vị trí đặt ACLs ACLs sử dụng để kiểm soát lưu lượng cách lọc gói liệu loại bỏ lưu lượng khơng mong muốn mạng Vị trí đặt ACLs quan trọng, giúp cho hoạt động toàn hệ thống mạng hiệu 69 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Hình 5.10 Vị trí đặt ACLs N guyên tắc chung là: Đặt ACLs mở rộng gần nguồn nguồn lưu lượng mà ta muốn chặn lại tốt ACLs không xác định địa đích nên đặt chúng gần đích tốt 5.2.5 Bức tường lửa Bức tường lửa cấu trúc ngăn người dùng bên hệ thống mạng với hệ thống bên để tránh kẻ xâm nhập bất hợp pháp Một tường lửa bao gồm nhiều thiết bị làm việc để ngăn chặn truy cập không mong muốn Hình 5.11 Cấu trúc tường lửa Trong cấu trúc này, router kết nối Internet gọi router ngoại vi, đưa tất lưu lượng nhận vào đến Application gateway Kết gateway kiểm soát việc phân phối dịch vụ vào hệ thống mạng Khi đó, user phép kết nối Internet ứng dụng phép có 70 Khoa CNTT- Bài giảng mơn Cơng nghệ thiết bị mạng thể thiết lập kết nối cho host bên bên Điều giúp bảo vệ Application gateway tránh cho bị tải gói liệu vốn bị hủy bỏ Do ACLs đặt router đóng vai trị tường lửa, router vị trí trung gian mạng bên mạng bên Router tường lửa cách ly cho toàn hệ thống mạng bên tránh bị công ACLs nên sử dụng router vị trí trung gian kết nối hai phần hệ thống mạng kiểm soát hoạt động hai phần 5.2.6 Giới hạn truy cập vào đường vty router ACLs mở rộng có hiệu gói liệu qua router N hưng chúng khơng chặn gói liệu xuất phát từ thân router Do ACL mở rộng ngăn hướng Telnet ngăn chặn phiên Telnet xuất phát từ router Hình 5.12 Truy cập vào đường vty router Trên router có cổng vật lý cổng Fa0/0 S0/0 có cổng ảo Các cổng gọi đường vty đánh số từ đến Giới hạn truy cập vào đường vty tăng khả bảo vệ cho hệ thống mạng Quá trình tạo vty ACLs giống tạo ACL khác, đặt ACLs vào đường vty dùng lệnh access-class thay dùng lệnh access-group Ví du: Creating the standard list: Router1(config)#access-list permit 172.16.1.0 0.0.0.255 Router1(config)#access-list permit 172.16.2.0 0.0.0.255 Router1(config)#access-list deny any Applying the access list: 71 Khoa CNTT- Bài giảng môn Công nghệ thiết bị mạng Router1(config)#line vty Router1(config-line)#password secret Router1(config-line)#access-class in Router1(config-line)#login TÀI LIỆU THAM KHẢO [1] Cisco Certified N etwork Associate – Semester – Cisco Press [2] Interconnecting Cisco N etwork Devices - Cisco Press [3] www.cisco.com 72 ... phải có điều kiện sau: • Hệ thống mạng sử dụng giao thức TCP/IP • Gán địa IP cho 01 ethernet port router kết nối cổng vào hệ thống mạng • 01 PC kết nối vào mạng thông qua TCP/IP Sau thỏa mãn điều. .. Bài giảng môn Công nghệ thiết bị mạng Hình 4.2.2 Ta thấy trước mạng bị lỗi, tất router hệ thống mạng có thơng tin cấu trúc mạng bảng định... đến mạng qua router B Đến thời điểm cập nhật định kỳ router C.Trong thông tin cập nhật router C cho router D có thơng tin đường đến mạng qua router B Lúc router D thấy thông tin tốt thông tin