Bài giản môn Công nghệ thiết bị mạng
Tóm tắt Bài giản môn Công nghệ thiết bị mạng: ...o login ! end • IOS image: IOS là chữ viết tắt của Internetworking Operating System. IOS thực sự là trái tim của Cisco router. Nó quyết định tất cả các chức năng của thiết bị và bao gồm tất cả các dòng lệnh dùng để cấu hình thiết bị đó. IOS image là thua... nhật bảng định tuyến Router A gửi đi bảng định tuyến đã cập nhật Quá trình cập nhật bảng định tuyến cấu trúc mạng thay đổi làm cho bảng định tuyến phải cập nhật lại Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng -----------------------------------------------------... - Khởi động giao thức định tuyến RIP. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 51 Router(config-router)#network network-numbur – Khai báo các mạng mà RIP được phép chạy...
hư EIGRP chỉ co phép tối đa là 4 đương. Mặc định thì hầu hết các giao thức định tuyến IP đều chia tải ra 4 đường. Đường cố định thì chia tải ra 6 đường. Chỉ riêng BGP là ngoại lệ, mặc định của BGP là chỉ cho phép định tuyến một đường đến một đích. Số đường tối đa mà router có thể chia tải ra từ 1 đến 6 đường. Để thay đổi số đường tối đa cho phép ta sử dụng lệnh sau: Router(config-router)#maximum-paths [number] IGRP có thể chia tải lên tối đa 6 đường. RIP dựa vào số lượng hop để chọn đường chia tải, trong khi IGRP thì dựa vào băng thông để chọn đường chia tải. Khi định tuyến IP, Cisco IOS có 2 cơ chế chia tải là: Chia tải theo gói dữ liệu và chia tải theo địa chỉ đích. N ếu router chuyển mạng theo tiến chình thì router sẽ chia gói dữ liệu ra các đường. Cách này gọi là chia tải theo gói dữ liệu. Còn nếu router chuyển mạch nhanh thì router sẽ chuyển tất cả các gói dữ liệu đến cùng một đích ra 1 đường. Các gói dữ liệu đến hop khác nhưng trong cùng một mạng đích thì sẽ tải ra đường kế tiếp. Cách này gọi là chia tải theo địa chỉ đích. 4.10. Tích hợp đường cố định với RIP Đường cố định là do người quản trị cấu hình cho router chuyển gói tơi mạng đích theo đường mà mình muốn. Mặt khác, lệnh để cấu hình đường cố định cũng như sử dụng để khai báo cho đường mặc định. Trong trường hợp router không tìm thấy đường nào trên bảng định tuyến để chuyển gói đến mạng đích thì router sẽ sử dụng đường mặc định. Router chạy RIP có thể nhận thông tin về đường mặc định từ những thông tin cập nhật của các router RIP láng giềng khác. Hoặc là bản thân router được cấu hình đường mặc định sẽ cập nhật thông tin định tuyến này cho các router khác. Ta có thể xoá đường cố định bằng lệnh no ip router người quản trị mạng có thể cấu hình đường cố định bên cạnh định tuyến động. Mỗi một giao thức định tuyến động Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 59 có 1 chỉ số tin cậy (AD) mặc định. N gười quản trị mạng có thể cấu hình một đường cố định tới một mạng đích với đường định tuyến động nhưng với chỉ số AD lớn hơn chỉ số AD của giao thức định tuyến động tương ứng. Khi đó, đường định tuyến động có chỉ số AD nhỏ hơn nên luôn luôn được router chọn lựa trứơc. Khi đường định tuyến động bị sự cố không sử dụng được nữa thì router sẽ sử dụng tới đường cố định để chuyển gói dữ liệu đến mạng đích. N ếu ta cấu hình đường cố định chỉ ra một cổng RIP cũng chạy trên cổng đó thì RIP sẽ gửi thông tin cập nhật về đường cố định này cho toàn bộ hệ thống mạng. Vì khi đó, đường cố định được xem như là kết nối trực tiếp vào router nên nó không còn bản chất là một đường cố định nữa. N ếu ta cấu hình đường cố định chỉ ra một cổng mà RIP không chạy trên cổng đó thì RIP không gửi thông tin cập nhật về đường cố định đó, chừ khi ta phải cấu hình thêm lệnh redistribute static cho RIP. Khi một cổng giao tiếp bị ngắt thì tất cả các đường cố định chỉ ra cổng đó đều bị xoá khỏi bảng định tuyến. Tương tự như vậy, khi router không xác định được trạm kế tiếp trên đường cố định cho gói dữ liệu tới mạng đính thì đường cố định đó cũng sẽ khỏi bảng định tuyến. Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 60 CHƯƠNG 5: DANH SÁCH TRUY CẬP ACLs 5.1. Cơ bản về Danh sách kiểm tra truy cập 5.1.1. ACL là gì ? ACLs là một danh sách các điều kiện được áp dụng cho lưu lượng đi qua một cổng của Router. Danh sách này cho phép Router biết loại gói nào được chấp nhận hay bị từ chối dựa trên các điều kiện cụ thể. ACL được sử dụng để quản lý lưu lượng mạng và bảo vệ sự truy cập ra hoặc vào hệ thống mạng. ACL có thể được tạo ra cho tất cả các giao thức được định tuyến như IP (Internet Protocol) và IPX (Internetwork Packet Exchange). ACL có thể được cấu hình trên router để kiểm tra việc truy cập và một mạng hay một subnet nào đó. Hình 5.1. Ví dụ về ACL ACL lọc tải bằng cách kiểm tra việc chuyển đi các gói đã được định tuyến xong hoặc là chặn ngay các gói vào cổng của router. Router kiểm tra từng gói một để quyết định là chuyển gói đi hay hủy bỏ gói đó tùy vào các điều kiện trong ACL như: địa chỉ nguồn và đích, giao thức và số port của lớp trên. Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 61 Hình 5.2. Cấu trúc về gói dữ liệu Một số nguyên nhân chính để tạo ACLs: Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động của mạng. Ví dụ, bằng cách giới hạn lưu lượng truyền video, ACLs đã làm giảm tải đáng kể và làm tăng hiệu suất của mạng. Kiểm tra dòng lưu lượng. ACLs có thể giới hạn thông tin truy cập định tuyến. Cung cấp chế độ bảo vệ truy cập cơ bản. ACLs có thể cho phép một host truy cập vào một phần nào đó của hệ thống mạng và ngăn không cho các host khác truy cập vào khu vực đó. Quyết định loại lưu lượng được phép cho qua hay chặn lại trên các công của router. Ví dụ, lưu lượng của Email được phép cho qua nhưng tất cả lưu lượng của telnet đều bị chặn lại. Cho phép người quản trị mạng điều khiển được các phạm vi mà các Client được quyền truy cập vào trong hệ thống mạng. Kiểm tra host để cho phép hay từ chối không cho truy cập vào một khu vực nào đó trong hệ thống. N ếu trên router không có cấu hình ACLs thì tất cả các gói được chuyển đi đến mọi vị trí trong hệ thống mạng. 5.1.2. ACLs làm việc như thế nào Mỗi ACLs là một danh sách các câu lệnh trong đó xác định gói dữ liệu nào được chấp nhận hay từ chối tại chiều ra hay chiều vào của một cổng trên Router. Mỗi một câu lệnh có các điều kiện và kết quả chấp nhận hay từ chối tương ứng. N ếu thoả điều kiện trong câu lệnh thì quyết định chấp nhận hay từ chối sẽ được thực hiện. Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 62 Thứ tự đặt các câu lệnh trong ACLs rất quan trọng.Phần mềm Cisco IOS sẽ kiểm tra gói dữ liệu với từng câu lệnh một theo đúng thứ tự từ trên xuống dưới. N ếu thoả điều kiện của một câu lệnh thì gói dữ liệu sẽ được chấp nhận hay từ chối ngay và toàn bộ các câu lệnh còn lại trong ACLs đó sẽ không phải kiểm tra nữa. N ếu không thoả điều kiện của tất cả các câu lệnh trong ACLs thì mặc định là cuối danh sách luôn có một câu lệnh Nn “deny any” (từ chối tất cả). N ếu bạn cần thêm một câu lệnh vào ACLs thì bạn phải xoá toàn bộ ACLs đi rồi tạo lại ACLs mới có câu lệnh mới. Hình 5.3. Sơ đồ làm việc của ACLs 5.1.3. Tạo ACLs ACLs được tạo trong chế độ cấu hình toàn cục. Có rất nhiều loại ACLs khác nhau, bao gồm: ACL cơ bản, ACL mở rộng, ACL cho IPX, AppleTalk và các giao thức khác. Khi cấu hình ACLs trên router mỗi ACL có một số xác định. Hình 5.4. Các thông số cấu hình ACL Bắt đầu tạo ACLs bằng từ khóa access-list, theo sau là các tham số tương ứng của lệnh này. Trong chế độ chế độ cấu hình cổng của router, dùng lệnh access-group để gán Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 63 ACL tương ứng vào cổng đó. Khi gán ACL cho một cổng , cần xác định cụ thể ACL đó áp dụng cho chiều ra hay vào trên cổng của router. Để thay đổi ACL, dùng lệnh no access-list list-number để xóa tất cả các câu lệnh access-list có cùng list-number. Các nguyên tắc cơ bản khi tạo và gán ACLs: Một ACL cho một giao thức trên một chiều của một cổng. ACL cơ bản nên đặt ở vị trí gần mạng đích nhất. ACL mở rộng nên đặt ở gần mạng nguồn nhất Đứng trong router để xác định chiều đi ra hay đi vào trên một cổng của router đó Các câu lệnh trong một ACL sẽ được kiểm tra tuần tự từ trên xuống cho đến khi có một câu lệnh được thỏa. N gược lại, nếu không có câu lệnh trong ACL thì gói dữ liệu đó sẽ bị từ chối. Hình 5.5. Cấu hình ACL cho một router Trong thực tế, các lệnh của danh sách truy cập có thể là các xâu kí tự dài. Các danh sách truy cập có thể phức tạp khi nhập vào hoặc dịch ra.Tuy nhiên, bạn có thể đơn giản hoá các lệnh định cấu hình cho danh sách truy cập chung bằng cách giảm các lệnh bởi hai phần tử chung. Mô hình tạo ACL: Bước 1: Tạo các thông số cho câu lệnh kiểm tra danh sách truy cập này (có thể là một hoặc vài câu lệnh): Router(config)#access-list access-list-number {permit | deny} {test condition} Bước 2: Cho phép một giao diện trở thành một phần của nhóm, nhóm mà sử dụng danh sách truy cập đã được xác định (kích hoạt access list trên interface). Router(config-ip)#{protocol} access-group access-list-number {in | out} Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 64 access-list-number là số hiệu phân biệt các access list với nhau, đồng thời cũng cho biết là loại access list nào (standard hay extended) Cập nhật các danh sách truy cập: N ếu các câu lệnh điều kiện thêm vào là cần thiết trong một danh sách truy cập thì cập nhật toàn bộ. ACL phải được xoá và tạo lại với các câu lệnh điều kiện mới. Xác định ACLs như thế nào? Mỗi ACL được xác định duy nhất bằng cách gán một số (hoặc một tên) cho nó. Số này xác định kiểu của danh sách truy cập được tạo và phải nằm trong phạm vi giới hạn đặc biệt của các chỉ số: Một ACL được số hoá không thể bị hiệu chỉnh trên router. Để hiệu chỉnh một ACL: Bước 1: Copy nó tới một file văn bản. Bước 2: Gỡ bỏ từ cấu hình router với ‘no’ hình dạng của câu lệnh ACL Bước 3: Tạo những thay đổi cần thiết cho lile văn bản. Bước 4: Dán trở lại chế độ cấu hình chung. 5.1.4. Chức năng của wildcard mask Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 65 Một wildcard mask dài 32 bit được chia làm 4 Octet. Mỗi một wildcard mask đi cùng với một địa chỉ IP. Số bit 0 và 1 trong wildcard mask được sử dụng để xác định cách xử lý bit tương ứng trong địa chỉ IP. Hình 5.6. Cấu trúc của wildcard mask và địa chỉ IP Subnet mask có chuỗi bit 1 bắt đầu từ trái kéo dài sang phải để xác định phần host và phần mạng trong một địa chỉ IP. Trong khi đó wildcard mask được thiết kế để lọc ra một địa chỉ IP riêng lẻ hay một nhóm địa chỉ IP để cho phép hay từ chối truy cập dựa trên địa chỉ IP. Giá trị 0 và 1 trong wildcard mask có ý nghĩa khác với bit 0 và 1 trong subnet mask. Để tránh nhầm lẫn, chữ x được sử dụng để thay thế bit 1 trong wildcard mask. Ví dụ, wildcard mask là 0.0.255.255. Bit 0 có nghĩa là bit tương ứng trong địa chỉ IP phải kiểm tra, còn bit x (bit 1) có nghĩa là bit tương ứng trong địa chỉ IP có thể bỏ qua không cần kiểm tra. Trong quá trình wildcard mask, địa chỉ IP trong mỗi câu lệnh được kết hợp với wildcard mask trong câu lệnh đó để tính ra giá trị chuNn. Giá trị này dùng để so sánh với địa chỉ của các gói dữ liệu đang được kiểm tra bởi câu lệnh ACL. N ếu hai giá trị này giống nhau thì có nghĩa là điều kiện về địa chỉ đã được thỏa mãn. Có hai từ khóa đặc biệt được sử dụng trong ACLs là any và host. Any đại diện cho IP 0.0.0.0 và wildcard mask là 255.255.255.255, host đại diện cho wildcard mask 0.0.0.0. Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 66 Hình 5.7. Quá trình kết hợp IP và wildcard mask 5.1.5. Kiểm tra ACLs Có rất nhiều lệnh show được sử dụng và kiểm tra nội dung và vị trí đặt ACLs trên router. Lệnh show ip interface hiển thị thông tin của các cổng IP trên router và cho biết có ACLs được đặt trên các cổng hay không. Lệnh show access-lists sẽ hiển thị nội dung của tất cả các ACLs trên router. Để xem cụ thể một ACL nào thì cần thêm tên hoặc số vào sau câu lệnh show access-lists Hình 5.8. Ví dụ về một lệnh show Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 67 5.2. Danh sách kiểm tra truy cập 5.2.1. ACLs cơ bản ACLs cơ bản thực hiện kiểm tra địa chỉ IP nguồn của gói dữ liệu. Kết quả kiểm tra sẽ dẫn đến kết quả là cho phép hay từ chối truy cập toàn bộ các giao thức dựa trên địa chỉ mạng, subnet hay host. Trong chế độ cấu hình toàn cục, lệnh access-list được sử dụng để tạo ACL cơ bản với số ACL nằm trong khoảng từ 1 đến 99. Ví dụ: Access-list 2 deny 172.16.1.1 Access-list 2 permit 172.16.1.0 0.0.0.255 Access-list 2 deny 172.16.0.0 0.0.255.255 Access-list 2 permit 172.0.0.0 0.255.255.255 Câu lệnh ACL đầu tiên không có wildcard mask, trong trường hợp này wildcard mask mặc định được sử dụng là 0.0.0.0. Điều này có nghĩa là toàn bộ địa chỉ 172.16.1.1 phải được thỏa, nếu không thì router sẽ phải kiểm tra câu lệnh kế tiếp trong ACL. Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 68 Hình 5.9. Hoạt động của ACL cơ bản Cấu trúc đầy đủ của lệnh ACL cơ bản: Router(config)#access-list access-list-number {deny / permit} Source [ source wildcard ] [ log ] Dạng no của câu lệnh được sử dụng để xóa ACLs: Router(config)#no access-list access-list-number 5.2.2. ACLs mở rộng ACLs mở rộng thường được sử dụng nhiều hơn ACLs cơ bản vì nó có khả năng kiểm soát lớn hơn nhiều. ACLs mở rộng kiểm tra điạ chỉ nguồn và đích của gói dữ liệu, kiểm tra cả giao thức với số cổng. Do đó rất thuận tiện trong việc cấu hình các điều kiện kiểm tra cho ACL. Gói dữ liệu được chấp nhận hay từ chối là dựa trên vị trí xuất phát và đích đến của gói dữ liệu cùng với loại giao thức và số cổng của nó. Ví dụ, một ACL mở rộng có thể cho phép lưu lượng của Email từ cổng Fa0/0 ra cổng S0/0 và từ chối các lưu lượng của Web và FTP. Khi gói dữ liệu bị hủy bỏ vì bị từ chối, một số giao thức sẽ gửi thông điệp phản hồi về cho máy gửi để thông báo là dữ liệu không đến đích được. Trong một ACL có thể có nhiều câu lệnh. Các câu lệnh có cùng số ACL là nằm trong cùng một danh sách ACL. Có thể cấu hình số lượng ACL với số lượng không hạn chế và chỉ phụ thuộc vào dung lượng bộ nhớ của router. Ví dụ: Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data Ở cuối câu lệnh ACL mở rộng có thông số về số port TCP và UDP để xác định chính xác hơn loại gói dữ liệu. Có thể xác định số port bằng các tham số eq (equal: bằng), neq (not equal: không bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn). ACL mở rộng sử dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 đối với các IOS gần đây). Lệnh ip access-group được sử dụng để gán một ACL mở rộng đã có vào một cổng của router. Một ACL cho một giao thức cho một chiều trên một cổng. Ví dụ: Router(config-if)#ip access-group access-list-number {in | out} Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 69 5.2.3. Đặt tên ACLs Đặt tên ACLs có những ưu điểm sau: Xác định ACL bằng tên sẽ mang tính trực giác hơn ACLs đặt tên có thể chỉnh sửa mà không cần phải xóa toàn bộ ACLs rồi viết lại từ đầu như ACLs đặt theo số. Không còn bị giới hạn tối đa 798 ACLs cơ bản và 799 ACLs mở rộng. Ví dụ về cấu hình đặt tên ACL: TN (config)#ip access-list extended server-access TN (config-ext-nacl)#permit TCP any host 131.108.101.99 eq mstp TN (config-ext-nacl)#permit UDP any host 131.108.101.99 eq domain TN (config-ext-nacl)#deny ip any any TN (config-ext-nacl)#^Z Applying the name list: TN (config)#interface fastethernet 0/0 TN (config-if)#ip access-group server-access out TN (config-if)#^Z Những điểm cần lưu ý khi thực hiện đặt tên ACLs: ACLs đặt tên không tương thích với các Cisco IOS phiên bản trước 11.2, Không sử dụng chung một tên cho nhiều ACLs khác nhau. Ví dụ, không thể có một ACL cơ bản và một ACLs mở rộng có cùng tên là TN . 5.2.4. Vị trí đặt ACLs ACLs được sử dụng để kiểm soát lưu lượng bằng cách lọc gói dữ liệu và loại bỏ các lưu lượng không mong muốn trên mạng. Vị trí đặt ACLs rất quan trọng, nó giúp cho hoạt động của toàn bộ hệ thống mạng được hiệu quả. Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 70 Hình 5.10. Vị trí đặt ACLs N guyên tắc chung là: Đặt ACLs mở rộng càng gần nguồn của nguồn lưu lượng mà ta muốn chặn lại càng tốt. ACLs cơ bản không xác định địa chỉ đích nên đặt chúng ở càng gần đích càng tốt. 5.2.5. Bức tường lửa Bức tường lửa là một cấu trúc ngăn giữa người dùng bên trong hệ thống mạng với hệ thống bên ngoài để tránh những kẻ xâm nhập bất hợp pháp. Một bức tường lửa bao gồm nhiều thiết bị làm việc cùng nhau để ngăn chặn các truy cập không mong muốn. Hình 5.11. Cấu trúc bức tường lửa Trong cấu trúc này, router kết nối ra Internet được gọi là router ngoại vi, sẽ đưa tất cả các lưu lượng nhận vào đến Application gateway. Kết quả là gateway có thể kiểm soát việc phân phối các dịch vụ đi ra và đi vào hệ thống mạng. Khi đó, chỉ những user nào được phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 71 thể thiết lập kết nối cho host bên trong và bên ngoài. Điều này giúp bảo vệ Application gateway và tránh cho nó bị quá tải bởi những gói dữ liệu vốn là sẽ bị hủy bỏ. Do đó ACLs đặt trên router đóng vai trò như bức tường lửa, đó là những router ở vị trí trung gian giữa mạng bên trong và mạng bên ngoài. Router bức tường lửa này sẽ cách ly cho toàn bộ hệ thống mạng bên trong tránh bị tấn công. ACLs cũng nên sử dụng trên router ở vị trí trung gian kết nối giữa hai phần của hệ thống mạng và kiểm soát hoạt động giữa hai phần này. 5.2.6. Giới hạn truy cập vào đường vty trên router ACLs cơ bản và mở rộng đều có hiệu quả đối với các gói dữ liệu đi qua router. N hưng chúng không chặn được các gói dữ liệu xuất phát từ chính bản thân router đó. Do đó một ACL mở rộng ngăn hướng Telnet ra sẽ không thể ngăn chặn được các phiên Telnet xuất phát từ chính router đó. Hình 5.12. Truy cập vào đường vty trên router Trên router có các cổng vật lý như cổng Fa0/0 và S0/0 cũng có các cổng ảo. Các cổng này gọi là đường vty được đánh số từ 0 đến 4. Giới hạn truy cập vào đường vty sẽ tăng khả năng bảo vệ cho hệ thống mạng. Quá trình tạo vty ACLs cũng giống như tạo các ACL khác, nhưng khi đặt ACLs vào đường vty thì dùng lệnh access-class thay vì dùng lệnh access-group Ví du: Creating the standard list: Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255 Router1(config)#access-list 2 permit 172.16.2.0 0.0.0.255 Router1(config)#access-list 2 deny any Applying the access list: Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng -------------------------------------------------------------------------------------------------------------- 72 Router1(config)#line vty 0 4 Router1(config-line)#password secret Router1(config-line)#access-class 2 in Router1(config-line)#login TÀI LIỆU THAM KHẢO [1]. Cisco Certified N etwork Associate – Semester 2 – Cisco Press [2]. Interconnecting Cisco N etwork Devices - Cisco Press [3]. www.cisco.com
File đính kèm:
- bai_gian_mon_cong_nghe_thiet_bi_mang.pdf