Bài giảng Thiết kế hệ thống mạng: Bài 7 - ThS. Nguyễn Văn Thành

Bài giảng Thiết kế hệ thống mạng: Bài 7 Ứng dụng Access-List trong thiết kế mạng, được biên soạn gồm các nội dung chính sau: Tổng quan vế Access List; Wildcard mask; Standard Access-list; Ứng dụng Std. ACL trong thiết kế mạng; Extended Access-list; Ứng dụng Ext. ACL trong thiết kế mạng. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng Thiết kế hệ thống mạng: Bài 7 - ThS. Nguyễn Văn Thành TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: THIẾT KẾ HỆ THỐNG MẠNG Số tín chỉ: 3 Biên soạn: ThS. Nguyễn Văn Thành Tổng số tiết: 60 tiết Email : nvanthanh@ntt.edu.vn (30 LT + 30 TH) Phone : 09 1819 3131 MH – Thiết kế hệ thống mạng Bài 1: Tổng quan về thiết kế mạng Bài 2: Tiêu chuẩn thiết kế mạng cục bộ Bài 3: Cấu hình thiết bị mạng Bài 4: Các kỹ thuật Layer-2 trong TKM Bài 5: Các kỹ thuật Layer-3 trong TKM Bài 6: Các kỹ thuật Layer-4 trong TKM Trung tâm đào tạo SmartPro Bài 7: Ứng dụng Access-List trong TKM 2 Bài 7: Ứng dụng Access-List vào TKM 1 • Tổng quan vế Access List 2 • Wildcard mask. 3 • Standard Access-list 4 • Ứng dụng Std. ACL trong thiết kế mạng 5 • Extended Access-list 6 • Ứng dụng Ext. ACL trong thiết kế mạng 3 Tổng quan Access Control List (ACL) • Khái niệm Access Control List • Access Control List (ACL) là một danh sách các điều kiện truy vấn khi Router tiến hành lọc (filter) hoặc phân loại (classification) gói tin. • Router thực hiện lọc (hay phân loại) khi gói tin đi váo (inbound) hoặc đi ra (outbound) khỏi một interface của Router. • Mục đích sử dụng ACL • Lọc gói tin (Packet filter): Router kiểm soát các gói tin đi ngang qua nó bằng 1 trong 2 hành động: cho (permit) hoặc hủy bỏ (drop / deny). • Lọc gói tin (Packet classification): xác định loại của gói tin (như: GRE, NAT, OSPF, EIGRP…) để chọn phương thức xử lý gói tin đó. Tổng quan Access Control List (ACL) • Các loại Access List: • Standard ACL: • Danh sách chỉ chứa địa chỉ IP làm tiêu chuẩn (criteria) so khớp với Source IP của gói tin. • Extended ACL: • Danh sách chứa giao thức, Source IP, Source Port, Destination IP, Destination Port… làm tiêu chuẩn (criteria) so sánh. • Mỗi dòng thông tin trong ACL có hành động: permit hay deny. • Định danh cho ACL: • Numbered ACL: sử dụng con số để định danh cho Access-list. • Standard ACL: dùng số: 1 - 99, hoặc: 1300 – 1999 • Extended ACL: dùng số: 100 – 199, hoặc: 2000 – 2699 • Named ACL: sử dụng “tên” để định danh cho Access-list. Tổng quan Access Control List (ACL) • Hoạt động của ACL Tổng quan Access Control List (ACL) • ACL Entry Wildcard Mask • Khái niệm Wildcard Mask: • Access list là danh sách chứa các thông tin IP address làm tiêu chí (criteria) so khớp cho Router điều khiển các luồng traffic. • Trên một IP address mẫu (32 bits), phải có thông tin bit nào cần so khớp, bit nào không cần so khớp. • Wildcard mask là dãy 32 bits thông tin các bits cần (hay không cần) so khớp trên IP address mẫu. • Quy tắc của Wildcard mask: • Wildcard bit = 0 => bit IP address mẫu tại vị trí tương ứng phải khớp (match). • Wildcard bit = 1 => bit IP address mẫu tại vị trí tương ứng không cần khớp (no match). Wildcard Mask • Minh họa vai trò của Wildcard bits: •Wildcard bit = 0 => bit địa chỉ tương ứng phải khớp (match). •Wildcard bit = 1 => bỏ qua (không so khớp) bit địa chỉ tương ứng. Wildcard Mask • Các ví dụ dùng Wildcard mask: Address và wildcard mask: 172.30.16.0 0.0.15.255 Wildcard Mask • Các ví dụ dùng Wildcard mask: ▪ 172.30.16.29 0.0.0.0 phải đúng tất cả các bit địa chỉ trên (host). ▪ Có thể viết theo cách khác: host 172.30.16.29 ▪ 0.0.0.0 255.255.255.255 bỏ qua tất cả các bit địa chỉ (any). ▪ Tương đương với từ khóa: any. Standard Access Lists • Giới thiệu Standard Access Lists: • Là danh sách chỉ chứa địa chỉ IP làm tiêu chuẩn (criteria) so khớp với Source IP của gói tin. • Mỗi dòng thông tin trong Standard ACL có 4 cột (4 field): • Cột 1: hành động (permit hay deny) nếu khớp (match) điều kiện. • Cột 2: IP address mẫu. • Cột 3: Wildcard mask – quy định bits IP address mẫu cần so khớp. • Standard ACL được định danh bằng: • Numbered ACL: sử dụng con số từ 1 - 99. • Named ACL: sử dụng “tên” để định danh cho Access-list • Đặt Standard ACL vào interface: • Nên chọn interface ở phía xa Source Network (gần Destination). • Xét các gói tin theo hướng outbound đối với interface. 12 Standard Access Lists • Standard ACL commands: • Định nghĩa Standard ACL định danh bằng số, ghi dòng đầu tiên: Router (config)# access-list number {deny | permit} source [wildcard] • Ví dụ: access-list 1 permit 192.168.1.0 0.0.0.255 • Thêm dòng mới cho Standard ACL đã có: • Dùng cú pháp lệnh trên với number của ACL đã có. • Ví dụ: R(config)# access-list 1 permit 192.168.2.0 0.0.0.255 • Định nghĩa Standard ACL định danh bằng tên R(config)# ip access-list standard name Router(config-std-nacl)# {deny | permit} source [wildcard] • Ví dụ: R(config)# ip access-list standard Mang-A R(config-std-nac)# permit 192.168.1.0 0.0.0.255 R(config-std-nac)# permit 192.168.2.0 0.0.0.255 Standard Access Lists • Standard ACL commands: • Gán ACL vào interface: • Bước 1: chọn interface cần gán • Bước 2: dùng lệnh ip access-group … Router (config)# interface if-name Router (config-if)# ip access-group access-list-number { in | out } • Ví dụ: R (config)# interface f0/0 R (config-if)# ip access-group 1 out Hoặc: R (config-if)# ip access-group Mang-A out • Lưu ý: mặc định khi interface có gán ACL sẽ deny (drop) tất cả packet không match với ACL được gán. • Xem lại các ACL đã có: Router#show access-lists Ứng dụng Standard ACL trong TKM • Vai trò của Std. ACL trong TKM: • Dùng ngăn chặn (hay cho phép) cho phép ...