Bài giản môn Công nghệ thiết bị mạng

Tóm tắt Bài giản môn Công nghệ thiết bị mạng: ...o login ! end • IOS image: IOS là chữ viết tắt của Internetworking Operating System. IOS thực sự là trái tim của Cisco router. Nó quyết định tất cả các chức năng của thiết bị và bao gồm tất cả các dòng lệnh dùng để cấu hình thiết bị đó. IOS image là thua... nhật bảng định tuyến Router A gửi đi bảng định tuyến đã cập nhật Quá trình cập nhật bảng định tuyến cấu trúc mạng thay đổi làm cho bảng định tuyến phải cập nhật lại Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng -----------------------------------------------------... - Khởi động giao thức định tuyến RIP. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 51 Router(config-router)#network network-numbur – Khai báo các mạng mà RIP được phép chạy...

pdf72 trang | Chia sẻ: havih72 | Lượt xem: 235 | Lượt tải: 0download
Nội dung tài liệu Bài giản môn Công nghệ thiết bị mạng, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
hư EIGRP chỉ co phép tối đa là 4 đương. 
Mặc định thì hầu hết các giao thức định tuyến IP đều chia tải ra 4 đường. Đường 
cố định thì chia tải ra 6 đường. Chỉ riêng BGP là ngoại lệ, mặc định của BGP là chỉ cho 
phép định tuyến một đường đến một đích. 
Số đường tối đa mà router có thể chia tải ra từ 1 đến 6 đường. Để thay đổi số 
đường tối đa cho phép ta sử dụng lệnh sau: 
 Router(config-router)#maximum-paths [number] 
IGRP có thể chia tải lên tối đa 6 đường. RIP dựa vào số lượng hop để chọn đường 
chia tải, trong khi IGRP thì dựa vào băng thông để chọn đường chia tải. 
Khi định tuyến IP, Cisco IOS có 2 cơ chế chia tải là: Chia tải theo gói dữ liệu và 
chia tải theo địa chỉ đích. N ếu router chuyển mạng theo tiến chình thì router sẽ chia gói 
dữ liệu ra các đường. Cách này gọi là chia tải theo gói dữ liệu. Còn nếu router chuyển 
mạch nhanh thì router sẽ chuyển tất cả các gói dữ liệu đến cùng một đích ra 1 đường. 
Các gói dữ liệu đến hop khác nhưng trong cùng một mạng đích thì sẽ tải ra đường kế 
tiếp. Cách này gọi là chia tải theo địa chỉ đích. 
4.10. Tích hợp đường cố định với RIP 
 Đường cố định là do người quản trị cấu hình cho router chuyển gói tơi mạng đích 
theo đường mà mình muốn. Mặt khác, lệnh để cấu hình đường cố định cũng như sử dụng 
để khai báo cho đường mặc định. Trong trường hợp router không tìm thấy đường nào 
trên bảng định tuyến để chuyển gói đến mạng đích thì router sẽ sử dụng đường mặc định. 
 Router chạy RIP có thể nhận thông tin về đường mặc định từ những thông tin cập 
nhật của các router RIP láng giềng khác. Hoặc là bản thân router được cấu hình đường 
mặc định sẽ cập nhật thông tin định tuyến này cho các router khác. 
 Ta có thể xoá đường cố định bằng lệnh no ip router người quản trị mạng có thể 
cấu hình đường cố định bên cạnh định tuyến động. Mỗi một giao thức định tuyến động 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
59
có 1 chỉ số tin cậy (AD) mặc định. N gười quản trị mạng có thể cấu hình một đường cố 
định tới một mạng đích với đường định tuyến động nhưng với chỉ số AD lớn hơn chỉ số 
AD của giao thức định tuyến động tương ứng. Khi đó, đường định tuyến động có chỉ số 
AD nhỏ hơn nên luôn luôn được router chọn lựa trứơc. Khi đường định tuyến động bị sự 
cố không sử dụng được nữa thì router sẽ sử dụng tới đường cố định để chuyển gói dữ 
liệu đến mạng đích. 
 N ếu ta cấu hình đường cố định chỉ ra một cổng RIP cũng chạy trên cổng đó thì 
RIP sẽ gửi thông tin cập nhật về đường cố định này cho toàn bộ hệ thống mạng. Vì khi 
đó, đường cố định được xem như là kết nối trực tiếp vào router nên nó không còn bản 
chất là một đường cố định nữa. N ếu ta cấu hình đường cố định chỉ ra một cổng mà RIP 
không chạy trên cổng đó thì RIP không gửi thông tin cập nhật về đường cố định đó, chừ 
khi ta phải cấu hình thêm lệnh redistribute static cho RIP. 
 Khi một cổng giao tiếp bị ngắt thì tất cả các đường cố định chỉ ra cổng đó đều bị 
xoá khỏi bảng định tuyến. Tương tự như vậy, khi router không xác định được trạm kế 
tiếp trên đường cố định cho gói dữ liệu tới mạng đính thì đường cố định đó cũng sẽ khỏi 
bảng định tuyến. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
60
CHƯƠNG 5: DANH SÁCH TRUY CẬP ACLs 
5.1. Cơ bản về Danh sách kiểm tra truy cập 
5.1.1. ACL là gì ? 
 ACLs là một danh sách các điều kiện được áp dụng cho lưu lượng đi qua một cổng 
của Router. Danh sách này cho phép Router biết loại gói nào được chấp nhận hay bị từ 
chối dựa trên các điều kiện cụ thể. ACL được sử dụng để quản lý lưu lượng mạng và bảo 
vệ sự truy cập ra hoặc vào hệ thống mạng. 
 ACL có thể được tạo ra cho tất cả các giao thức được định tuyến như IP (Internet 
Protocol) và IPX (Internetwork Packet Exchange). ACL có thể được cấu hình trên router 
để kiểm tra việc truy cập và một mạng hay một subnet nào đó. 
 Hình 5.1. Ví dụ về ACL 
ACL lọc tải bằng cách kiểm tra việc chuyển đi các gói đã được định tuyến xong hoặc là 
chặn ngay các gói vào cổng của router. Router kiểm tra từng gói một để quyết định là 
chuyển gói đi hay hủy bỏ gói đó tùy vào các điều kiện trong ACL như: địa chỉ nguồn và 
đích, giao thức và số port của lớp trên. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
61
 Hình 5.2. Cấu trúc về gói dữ liệu 
 Một số nguyên nhân chính để tạo ACLs: 
 Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động của mạng. Ví dụ, bằng cách 
giới hạn lưu lượng truyền video, ACLs đã làm giảm tải đáng kể và làm tăng hiệu suất 
của mạng. 
 Kiểm tra dòng lưu lượng. ACLs có thể giới hạn thông tin truy cập định tuyến. 
 Cung cấp chế độ bảo vệ truy cập cơ bản. ACLs có thể cho phép một host truy cập 
vào một phần nào đó của hệ thống mạng và ngăn không cho các host khác truy cập vào 
khu vực đó. 
 Quyết định loại lưu lượng được phép cho qua hay chặn lại trên các công của router. 
Ví dụ, lưu lượng của Email được phép cho qua nhưng tất cả lưu lượng của telnet đều bị 
chặn lại. 
 Cho phép người quản trị mạng điều khiển được các phạm vi mà các Client được 
quyền truy cập vào trong hệ thống mạng. 
 Kiểm tra host để cho phép hay từ chối không cho truy cập vào một khu vực nào đó 
trong hệ thống. N ếu trên router không có cấu hình ACLs thì tất cả các gói được chuyển 
đi đến mọi vị trí trong hệ thống mạng. 
5.1.2. ACLs làm việc như thế nào 
 Mỗi ACLs là một danh sách các câu lệnh trong đó xác định gói dữ liệu nào được 
chấp nhận hay từ chối tại chiều ra hay chiều vào của một cổng trên Router. Mỗi một câu 
lệnh có các điều kiện và kết quả chấp nhận hay từ chối tương ứng. N ếu thoả điều kiện 
trong câu lệnh thì quyết định chấp nhận hay từ chối sẽ được thực hiện. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
62
Thứ tự đặt các câu lệnh trong ACLs rất quan trọng.Phần mềm Cisco IOS sẽ kiểm 
tra gói dữ liệu với từng câu lệnh một theo đúng thứ tự từ trên xuống dưới. N ếu thoả điều 
kiện của một câu lệnh thì gói dữ liệu sẽ được chấp nhận hay từ chối ngay và toàn bộ các 
câu lệnh còn lại trong ACLs đó sẽ không phải kiểm tra nữa. N ếu không thoả điều kiện 
của tất cả các câu lệnh trong ACLs thì mặc định là cuối danh sách luôn có một câu lệnh 
Nn “deny any” (từ chối tất cả). 
N ếu bạn cần thêm một câu lệnh vào ACLs thì bạn phải xoá toàn bộ ACLs đi rồi tạo 
lại ACLs mới có câu lệnh mới. 
 Hình 5.3. Sơ đồ làm việc của ACLs 
5.1.3. Tạo ACLs 
 ACLs được tạo trong chế độ cấu hình toàn cục. Có rất nhiều loại ACLs khác nhau, 
bao gồm: ACL cơ bản, ACL mở rộng, ACL cho IPX, AppleTalk và các giao thức khác. 
Khi cấu hình ACLs trên router mỗi ACL có một số xác định. 
 Hình 5.4. Các thông số cấu hình ACL 
 Bắt đầu tạo ACLs bằng từ khóa access-list, theo sau là các tham số tương ứng của 
lệnh này. Trong chế độ chế độ cấu hình cổng của router, dùng lệnh access-group để gán 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
63
ACL tương ứng vào cổng đó. Khi gán ACL cho một cổng , cần xác định cụ thể ACL đó 
áp dụng cho chiều ra hay vào trên cổng của router. Để thay đổi ACL, dùng lệnh no 
access-list list-number để xóa tất cả các câu lệnh access-list có cùng list-number. 
 Các nguyên tắc cơ bản khi tạo và gán ACLs: 
 Một ACL cho một giao thức trên một chiều của một cổng. 
 ACL cơ bản nên đặt ở vị trí gần mạng đích nhất. 
 ACL mở rộng nên đặt ở gần mạng nguồn nhất 
 Đứng trong router để xác định chiều đi ra hay đi vào trên một cổng của router đó 
 Các câu lệnh trong một ACL sẽ được kiểm tra tuần tự từ trên xuống cho đến khi có 
một câu lệnh được thỏa. N gược lại, nếu không có câu lệnh trong ACL thì gói dữ liệu đó 
sẽ bị từ chối. 
 Hình 5.5. Cấu hình ACL cho một router 
Trong thực tế, các lệnh của danh sách truy cập có thể là các xâu kí tự dài. Các danh sách 
truy cập có thể phức tạp khi nhập vào hoặc dịch ra.Tuy nhiên, bạn có thể đơn giản hoá 
các lệnh định cấu hình cho danh sách truy cập chung bằng cách giảm các lệnh bởi hai 
phần tử chung. 
 Mô hình tạo ACL: 
Bước 1: Tạo các thông số cho câu lệnh kiểm tra danh sách truy cập này (có thể là một 
hoặc vài câu lệnh): 
 Router(config)#access-list access-list-number {permit | deny} {test condition} 
Bước 2: Cho phép một giao diện trở thành một phần của nhóm, nhóm mà sử dụng danh 
sách truy cập đã được xác định (kích hoạt access list trên interface). 
 Router(config-ip)#{protocol} access-group access-list-number {in | out} 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
64
access-list-number là số hiệu phân biệt các access list với nhau, đồng thời cũng cho biết 
là loại access list nào (standard hay extended) 
 Cập nhật các danh sách truy cập: 
 N ếu các câu lệnh điều kiện thêm vào là cần thiết trong một danh sách truy cập thì 
cập nhật toàn bộ. 
 ACL phải được xoá và tạo lại với các câu lệnh điều kiện mới. 
 Xác định ACLs như thế nào? 
 Mỗi ACL được xác định duy nhất bằng cách gán một số (hoặc một tên) cho nó. 
Số này xác định kiểu của danh sách truy cập được tạo và phải nằm trong phạm vi giới 
hạn đặc biệt của các chỉ số: 
 Một ACL được số hoá không thể bị hiệu chỉnh trên router. 
 Để hiệu chỉnh một ACL: 
Bước 1: Copy nó tới một file văn bản. 
Bước 2: Gỡ bỏ từ cấu hình router với ‘no’ hình dạng của câu lệnh ACL 
Bước 3: Tạo những thay đổi cần thiết cho lile văn bản. 
Bước 4: Dán trở lại chế độ cấu hình chung. 
5.1.4. Chức năng của wildcard mask 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
65
 Một wildcard mask dài 32 bit được chia làm 4 Octet. Mỗi một wildcard mask đi 
cùng với một địa chỉ IP. Số bit 0 và 1 trong wildcard mask được sử dụng để xác định 
cách xử lý bit tương ứng trong địa chỉ IP. 
 Hình 5.6. Cấu trúc của wildcard mask và địa chỉ IP 
Subnet mask có chuỗi bit 1 bắt đầu từ trái kéo dài sang phải để xác định phần host và 
phần mạng trong một địa chỉ IP. Trong khi đó wildcard mask được thiết kế để lọc ra một 
địa chỉ IP riêng lẻ hay một nhóm địa chỉ IP để cho phép hay từ chối truy cập dựa trên địa 
chỉ IP. Giá trị 0 và 1 trong wildcard mask có ý nghĩa khác với bit 0 và 1 trong subnet 
mask. Để tránh nhầm lẫn, chữ x được sử dụng để thay thế bit 1 trong wildcard mask. Ví 
dụ, wildcard mask là 0.0.255.255. Bit 0 có nghĩa là bit tương ứng trong địa chỉ IP phải 
kiểm tra, còn bit x (bit 1) có nghĩa là bit tương ứng trong địa chỉ IP có thể bỏ qua không 
cần kiểm tra. Trong quá trình wildcard mask, địa chỉ IP trong mỗi câu lệnh được kết hợp 
với wildcard mask trong câu lệnh đó để tính ra giá trị chuNn. Giá trị này dùng để so sánh 
với địa chỉ của các gói dữ liệu đang được kiểm tra bởi câu lệnh ACL. N ếu hai giá trị này 
giống nhau thì có nghĩa là điều kiện về địa chỉ đã được thỏa mãn. Có hai từ khóa đặc biệt 
được sử dụng trong ACLs là any và host. Any đại diện cho IP 0.0.0.0 và wildcard mask 
là 255.255.255.255, host đại diện cho wildcard mask 0.0.0.0. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
66
 Hình 5.7. Quá trình kết hợp IP và wildcard mask 
5.1.5. Kiểm tra ACLs 
 Có rất nhiều lệnh show được sử dụng và kiểm tra nội dung và vị trí đặt ACLs trên 
router. Lệnh show ip interface hiển thị thông tin của các cổng IP trên router và cho biết 
có ACLs được đặt trên các cổng hay không. Lệnh show access-lists sẽ hiển thị nội dung 
của tất cả các ACLs trên router. Để xem cụ thể một ACL nào thì cần thêm tên hoặc số 
vào sau câu lệnh show access-lists 
 Hình 5.8. Ví dụ về một lệnh show 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
67
5.2. Danh sách kiểm tra truy cập 
5.2.1. ACLs cơ bản 
 ACLs cơ bản thực hiện kiểm tra địa chỉ IP nguồn của gói dữ liệu. Kết quả kiểm tra 
sẽ dẫn đến kết quả là cho phép hay từ chối truy cập toàn bộ các giao thức dựa trên địa 
chỉ mạng, subnet hay host. Trong chế độ cấu hình toàn cục, lệnh access-list được sử 
dụng để tạo ACL cơ bản với số ACL nằm trong khoảng từ 1 đến 99. 
 Ví dụ: 
 Access-list 2 deny 172.16.1.1 
 Access-list 2 permit 172.16.1.0 0.0.0.255 
 Access-list 2 deny 172.16.0.0 0.0.255.255 
 Access-list 2 permit 172.0.0.0 0.255.255.255 
Câu lệnh ACL đầu tiên không có wildcard mask, trong trường hợp này wildcard mask 
mặc định được sử dụng là 0.0.0.0. Điều này có nghĩa là toàn bộ địa chỉ 172.16.1.1 phải 
được thỏa, nếu không thì router sẽ phải kiểm tra câu lệnh kế tiếp trong ACL. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
68
Hình 5.9. Hoạt động của ACL cơ bản 
 Cấu trúc đầy đủ của lệnh ACL cơ bản: 
 Router(config)#access-list access-list-number {deny / permit} 
 Source [ source wildcard ] [ log ] 
 Dạng no của câu lệnh được sử dụng để xóa ACLs: 
 Router(config)#no access-list access-list-number 
5.2.2. ACLs mở rộng 
 ACLs mở rộng thường được sử dụng nhiều hơn ACLs cơ bản vì nó có khả năng 
kiểm soát lớn hơn nhiều. ACLs mở rộng kiểm tra điạ chỉ nguồn và đích của gói dữ liệu, 
kiểm tra cả giao thức với số cổng. Do đó rất thuận tiện trong việc cấu hình các điều kiện 
kiểm tra cho ACL. Gói dữ liệu được chấp nhận hay từ chối là dựa trên vị trí xuất phát và 
đích đến của gói dữ liệu cùng với loại giao thức và số cổng của nó. Ví dụ, một ACL mở 
rộng có thể cho phép lưu lượng của Email từ cổng Fa0/0 ra cổng S0/0 và từ chối các lưu 
lượng của Web và FTP. Khi gói dữ liệu bị hủy bỏ vì bị từ chối, một số giao thức sẽ gửi 
thông điệp phản hồi về cho máy gửi để thông báo là dữ liệu không đến đích được. 
 Trong một ACL có thể có nhiều câu lệnh. Các câu lệnh có cùng số ACL là nằm 
trong cùng một danh sách ACL. Có thể cấu hình số lượng ACL với số lượng không hạn 
chế và chỉ phụ thuộc vào dung lượng bộ nhớ của router. 
 Ví dụ: 
 Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet 
 Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp 
 Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data 
Ở cuối câu lệnh ACL mở rộng có thông số về số port TCP và UDP để xác định chính xác 
hơn loại gói dữ liệu. Có thể xác định số port bằng các tham số eq (equal: bằng), neq 
(not equal: không bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn). ACL mở rộng sử 
dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 đối với các IOS gần đây). 
 Lệnh ip access-group được sử dụng để gán một ACL mở rộng đã có vào một 
cổng của router. Một ACL cho một giao thức cho một chiều trên một cổng. 
 Ví dụ: 
 Router(config-if)#ip access-group access-list-number {in | out} 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
69
5.2.3. Đặt tên ACLs 
 Đặt tên ACLs có những ưu điểm sau: 
 Xác định ACL bằng tên sẽ mang tính trực giác hơn 
 ACLs đặt tên có thể chỉnh sửa mà không cần phải xóa toàn bộ ACLs rồi viết lại từ 
đầu như ACLs đặt theo số. 
 Không còn bị giới hạn tối đa 798 ACLs cơ bản và 799 ACLs mở rộng. 
 Ví dụ về cấu hình đặt tên ACL: 
 TN (config)#ip access-list extended server-access 
 TN (config-ext-nacl)#permit TCP any host 131.108.101.99 eq mstp 
 TN (config-ext-nacl)#permit UDP any host 131.108.101.99 eq domain 
 TN (config-ext-nacl)#deny ip any any 
 TN (config-ext-nacl)#^Z 
 Applying the name list: 
 TN (config)#interface fastethernet 0/0 
 TN (config-if)#ip access-group server-access out 
 TN (config-if)#^Z 
 Những điểm cần lưu ý khi thực hiện đặt tên ACLs: 
 ACLs đặt tên không tương thích với các Cisco IOS phiên bản trước 11.2, 
 Không sử dụng chung một tên cho nhiều ACLs khác nhau. Ví dụ, không thể có một 
ACL cơ bản và một ACLs mở rộng có cùng tên là TN . 
5.2.4. Vị trí đặt ACLs 
 ACLs được sử dụng để kiểm soát lưu lượng bằng cách lọc gói dữ liệu và loại bỏ 
các lưu lượng không mong muốn trên mạng. Vị trí đặt ACLs rất quan trọng, nó giúp cho 
hoạt động của toàn bộ hệ thống mạng được hiệu quả. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
70
 Hình 5.10. Vị trí đặt ACLs 
N guyên tắc chung là: Đặt ACLs mở rộng càng gần nguồn của nguồn lưu lượng mà ta 
muốn chặn lại càng tốt. ACLs cơ bản không xác định địa chỉ đích nên đặt chúng ở càng 
gần đích càng tốt. 
5.2.5. Bức tường lửa 
 Bức tường lửa là một cấu trúc ngăn giữa người dùng bên trong hệ thống mạng với 
hệ thống bên ngoài để tránh những kẻ xâm nhập bất hợp pháp. Một bức tường lửa bao 
gồm nhiều thiết bị làm việc cùng nhau để ngăn chặn các truy cập không mong muốn. 
 Hình 5.11. Cấu trúc bức tường lửa 
Trong cấu trúc này, router kết nối ra Internet được gọi là router ngoại vi, sẽ đưa tất cả các 
lưu lượng nhận vào đến Application gateway. Kết quả là gateway có thể kiểm soát việc 
phân phối các dịch vụ đi ra và đi vào hệ thống mạng. Khi đó, chỉ những user nào được 
phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
71
thể thiết lập kết nối cho host bên trong và bên ngoài. Điều này giúp bảo vệ Application 
gateway và tránh cho nó bị quá tải bởi những gói dữ liệu vốn là sẽ bị hủy bỏ. 
 Do đó ACLs đặt trên router đóng vai trò như bức tường lửa, đó là những router ở vị 
trí trung gian giữa mạng bên trong và mạng bên ngoài. Router bức tường lửa này sẽ cách 
ly cho toàn bộ hệ thống mạng bên trong tránh bị tấn công. ACLs cũng nên sử dụng trên 
router ở vị trí trung gian kết nối giữa hai phần của hệ thống mạng và kiểm soát hoạt động 
giữa hai phần này. 
5.2.6. Giới hạn truy cập vào đường vty trên router 
 ACLs cơ bản và mở rộng đều có hiệu quả đối với các gói dữ liệu đi qua router. 
N hưng chúng không chặn được các gói dữ liệu xuất phát từ chính bản thân router đó. Do 
đó một ACL mở rộng ngăn hướng Telnet ra sẽ không thể ngăn chặn được các phiên 
Telnet xuất phát từ chính router đó. 
 Hình 5.12. Truy cập vào đường vty trên router 
 Trên router có các cổng vật lý như cổng Fa0/0 và S0/0 cũng có các cổng ảo. Các 
cổng này gọi là đường vty được đánh số từ 0 đến 4. Giới hạn truy cập vào đường vty sẽ 
tăng khả năng bảo vệ cho hệ thống mạng. Quá trình tạo vty ACLs cũng giống như tạo 
các ACL khác, nhưng khi đặt ACLs vào đường vty thì dùng lệnh access-class thay vì 
dùng lệnh access-group 
 Ví du: 
 Creating the standard list: 
 Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255 
 Router1(config)#access-list 2 permit 172.16.2.0 0.0.0.255 
 Router1(config)#access-list 2 deny any 
 Applying the access list: 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
72
 Router1(config)#line vty 0 4 
 Router1(config-line)#password secret 
 Router1(config-line)#access-class 2 in 
 Router1(config-line)#login 
TÀI LIỆU THAM KHẢO 
[1]. Cisco Certified N etwork Associate – Semester 2 – Cisco Press 
[2]. Interconnecting Cisco N etwork Devices - Cisco Press 
[3]. www.cisco.com 

File đính kèm:

  • pdfbai_gian_mon_cong_nghe_thiet_bi_mang.pdf