View
168
Download
13
Category
Preview:
Citation preview
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 1
MỤC LỤC
PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO ...................................................................... 3
1. An ninh Mạng là gì? ...................................................................................................................... 3
2. An ninh hoạt động như thế nào ..................................................................................................... 3
3. Các doanh nghiệp đang sử dụng các công nghệ an ninh như thế nào ........................................... 4
a. Lòng tin của khách hàng ............................................................................................................ 4
b. Di động ...................................................................................................................................... 4
c. Năng suất cao hơn ..................................................................................................................... 5
d. Giảm chi phí .............................................................................................................................. 5
4. Bắt đầu với An ninh Mạng ............................................................................................................ 5
a. Cấp độ an ninh hiện tại của bạn ................................................................................................. 6
b. Các tài sản của bạn .................................................................................................................... 6
c. Truyền tải thông tin ................................................................................................................... 6
d. Các kế hoạch phát triển .............................................................................................................. 6
e. Đánh giá rủi ro ........................................................................................................................... 7
f. Dễ sử dụng ................................................................................................................................. 7
PHẦN 2. NGUYÊN TẮC ĐỊNH TUYẾN ............................................................................................ 8
1. Khái Niệm ROUTING ................................................................................................................ 8
2. Nguyên tắc định tuyến .................................................................................................................... 8
3. Các Phương Thức Định Tuyến: ...................................................................................................... 8
A. STATIC ROUTIN. ................................................................................................................. 8
các bước cấu hình định tuyến .................................................................................................. 8
B. DYNAMIC ROUTING ......................................................................................................... 10
PHẦN 3. REMOVING PROTOCOL VÀ SERVICES ....................................................................... 17
PHẦN 4: ACCESS CONTROL LISTS (ACL) .................................................................................... 21
I. Một số khái niệm về ACL. ........................................................................................................ 21
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 2
2. Các loại ACLs ......................................................................................................................... 22
3. Cách đặt ACLs. ....................................................................................................................... 23
4. Hoạt động của ACLs. .............................................................................................................. 23
5. Chú ý: ...................................................................................................................................... 24
6. Thuật toán hoạt động ............................................................................................................... 24
II- Cấu hình Access control lists . ................................................................................................. 27
1. Standard Access lists. .............................................................................................................. 27
2. Extended Access lists. ............................................................................................................. 27
3. Complex ACLs ........................................................................................................................ 28
III- Quản lý các ACLs . ................................................................................................................. 31
PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING ........................................................................... 32
1. Khái niệm về route-filtering: ....................................................................................................... 32
2. Distribute-list ............................................................................................................................... 32
3. Route-map ................................................................................................................................... 33
PHẦN 6. CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS) .................................... 39
1. Syslog: .......................................................................................................................................... 39
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 3
PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO
1. An ninh Mạng là gì?
Có những lúc, ví dụ như khi bạn rời văn phòng về nhà khi kết thúc ngày
làm việc, bạn sẽ bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng
và thiết bị. Dường như bạn cũng sẽ có một ngăn chứa an toàn hoặc khóa tủ lưu trữ
các tài liệu kinh doanh mật.
Mạng máy tính của bạn cũng đỏi hỏi cùng một mức độ bảo vệ như vậy.
Các công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và sử
dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc
từ vi rút và sâu máy tính trên mạng Internet. Nếu không có An ninh Mạng được
triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng
trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và
thậm chí là các hành động phạm pháp nữa.
2. An ninh hoạt động như thế nào
An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập
hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau. Ngay
cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ
liệu của bạn trước đa dạng các loại tấn công mạng.
Các thông tin an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn
dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ
trước các tấn công. Cụ thể, An ninh Mạng là:
Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài . Các tấn
công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của
doanh nghiệp của bạn. Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các
hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện những
phản ứng thích hợp.
Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc
nào .Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 4
đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo
vệ.
Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ
thống của họ .Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về truy
cập dữ liệu. Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người
dùng, chức năng công việc hoặc các tiêu chí kinh doanh cụ thể khác.
Giúp bạn trở nên tin cậy hơn .Bởi vì các công nghệ an ninh cho phép hệ
thống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với
những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn.
3. Các doanh nghiệp đang sử dụng các công nghệ an ninh như thế nào
An ninh Mạng đã trở thành một yêu cầu đối với doanh nghiệp, đặc biệt là
những doanh nghiệp hoạt động trên mạng Internet. Khách hàng, nhà cung cấp và
đối tác kinh doanh của bạn kỳ vọng vào bạn để bảo vệ bất kỳ thông tin nào mà họ
chia sẻ với bạn.
Trong khi An ninh Mạng đã gần như trở thành một yêu cầu tiên quyết để vận
hành một doanh nghiệp, nó cũng mang lại lợi ích theo nhiều cách khác nhau.
Dưới đây là những lợi ích mà các doanh nghiệp thu được từ một mạng được bảo
vệ an toàn:
a. Lòng tin của khách hàng
Tính riêng tư được đảm bảo Cộng tác được khuyến khích
Một hệ thống an ninh mạng đảm bảo với khách hàng rằng những thông tin
nhạy cảm như là số thẻ tín dụng hoặc các chi tiết kinh doanh bí mật sẽ không bị
truy cập và khai thác trái phép. Các đối tác kinh doanh của bạn sẽ cảm thấy tự
tin hơn khi chia sẻ dữ liệu như là dự báo doanh thu hoặc lên kế hoạch sản phẩm
trước khi phát hành. Ngoài ra, các công nghệ đó vừa ngăn chặn xâm nhập trái
phép vừa cung cấp cho các đối tác của bạn truy cập an toàn đến thông tin trên
mạng của bạn, giúp bạn cộng tác và làm việc cùng nhau một cách hiệu quả hơn.
b. Di động
Bảo vệ truy cập di động
Nâng cao năng suất khi đang ở ngoài văn phòng
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 5
Giải pháp An ninh Mạng mạnh mẽ cho phép nhân viên của bạn truy cập an toàn
trên đường đi hoặc từ nhà riêng mà không làm lây lan vi rút hoặc các dạng tấn
công khác. Truy cập mạng an toàn, thuận tiện có nghĩa là nhân viên có thể sử dụng
thông tin quan trọng khi họ cần, giúp họ trở nên có năng suất cao hơn ngay cả
khi họ không ngồi trước bàn làm việc.
c. Năng suất cao hơn
Ít lãng phí thời gian do spam hơn
Đạo đức và cộng tác tốt hơn giữa các nhân viên
Một hệ thống An ninh Mạng hiệu quả có thể nâng cao năng suất trên phạm vi
toàn bộ tổ chức của bạn. Nhân viên mất ít thời gian hơn vào những công việc
không có năng suất như là chống spam và diệt vi rút. Mạng và kết nối Internet của
bạn luôn được an toàn, đảm bảo rằng bạn và nhân viên của mình có truy cập
thường xuyên đến Internet và e-mail.
d. Giảm chi phí
Tránh được gián đoạn dịch vụ
Các dịch vụ tiên tiến được phát triển an toàn
Sự gián đoạn hoạt động của mạng gây thiệt hại lớn đối với mọi thể loại doanh
nghiệp. Bằng cách đảm bảo rằng mạng và kết nối Internet của bạn là an toàn
và hoạt động liên tục, bạn có thể đảm bảo rằng khách hàng có thể tiếp cận bạn khi
họ cần đến bạn. An ninh hiệu quả cho phép doanh nghiệp của bạn bổ sung các
dịch vụ và ứng dụng mới mà không làm ảnh hưởng đến hiệu năng mạng. Sử dụng
một khuynh hướng chủ động để bảo vệ dữ liệu của bạn sẽ đảm bảo rằng doanh
nghiệp của bạn sẽ tồn tại và hoạt động theo yêu cầu.
Khi công ty của bạn tăng trưởng, nhu cầu về mạng cũng thay đổi. Việc thiết
lập một mạng an toàn, mạnh mẽ ngay từ hôm nay sẽ cho phép công ty bạn bổ
sung những chức năng tiên tiến như là kết nối mạng không dây an toàn hoặc thoại
và hội nghị.
4. Bắt đầu với An ninh Mạng
Tùy theo nhu cầu của doanh nghiệp bạn với những công nghệ an ninh thích
hợp là bước đầu tiên để bắt đầu một dự án an ninh mạng.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 6
Sử dụng danh sách những cân nhắc dưới đây để giúp bạn bắt đầu:
a. Cấp độ an ninh hiện tại của bạn
Khám phá về những tính năng an ninh mà mạng của bạn đã có. Danh sách này sẽ
giúp xác định những thiếu hụt trong các phương pháp bảo vệ hiện tại của bạn.
Mạng hiện tại có cung cấp tường lửa, mạng riêng ảo, ngăn chặn xâm nhập,
chống vi rút, một mạng không dây an toàn, phát hiện bất thường và quản lý
danh tính cũng như phê duyệt tuân thủ hay không?
Những tính năng này có giao tiếp với nhau không?
b. Các tài sản của bạn
Xây dựng một danh mục về các tài sản của bạn để xác định xem sẽ cần
bao nhiêu cấp độ, lớp bảo vệ mà hệ thống của bạn cần có.
Bên trong doanh nghiệp cụ thể của bạn, những tài sản nào có vai trò quan
trọng nhất đối với sự thành công?
Có phải việc bảo vệ thông tin nội bộ của bạn là quan trọng nhất không; hay là
việc bảo vệ thông tin khách hàng của bạn là quan trọng nhất; hay là cả hai?
Giá trị của những tài sản này lớn đến đâu?
Những tài sản này nằm ở đâu trong doanh nghiệp của bạn?
c. Truyền tải thông tin
Đánh giá xem thông tin đang được chia sẻ như thế nào ở bên trong và bên
ngoài công ty của bạn.
Nhân viên của bạn có cần truy cập nhanh đến thông tin nội bộ để thực hiện
công việc của họ không?
Bạn có chia sẻ dữ liệu bên ngoài bốn bức tường của doanh nghiệp không?
Bạn kiểm soát việc ai có thể truy cập đến thông tin này như thế nào?
Bạn có cung cấp những cấp độ khác nhau về truy cập cho những người dung
mạng khác nhau không?
d. Các kế hoạch phát triển
Công ty bạn có đang lập kế hoạch bổ sung thêm các tính năng tiên tiến vào hệ
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 7
thống của mình không? Hệ thống của bạn cần phải thích ứng và linh động đến
đâu? Giải pháp an ninh của bạn cần phải có thể hỗ trợ được sự gia tăng lưu lượng
mạng hoặc các ứng dụng tiên tiến mà không làm gián đoạn dịch vụ.
e. Đánh giá rủi ro
Xác định xem những hậu quả của một vụ tấn công an ninh có vượt khỏi phạm
vi về tổn thất năng suất và gián đoạn dịch vụ không.
Môi trường kinh doanh của bạn bị điều chỉnh về mặt pháp lý đến mức
độ nào?
Rủi ro của việc không tuân thủ quy định là gì?
Doanh nghiệp của bạn có thể chấp nhận được mức độ gián đoạn thời
gian hoạt động đến mức độ nào trước khi tổn thất về tài chính hoặc uy tín
xảy ra?
f. Dễ sử dụng
Một công nghệ an ninh tốt nhất cũng sẽ không mang lại cho bạn lợi ích nào cả
nếu nó không được lắp đặt và sử dụng dễ dàng. Hãy đảm bảo là bạn có các tài
nguyên để quản lý hệ thống mà bạn đã lắp đặt.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 8
PHẦN 2. NGUYÊN TẮC ĐỊNH TUYẾN
1. Khái Niệm ROUTING
là quá trình chọn lựa các đường đi trên một mạng máy tính để gửi dữ liệu qua đó.
Việc định tuyến được thực hiện cho nhiều loại mạng, trong đó có mạng điện
thoại, liên mạng, Internet, mạng giao thông.
2. Nguyên tắc định tuyến Các giao thức định tuyến phi đạt được các yêu cầu đồng thời sau:
Khám phá động một topo mạng.
Xây dựng các đường ngắn nhất.
Kiểm soát tóm tắt thông tin về các mạng bên ngoài, có thể sử dụng các metric
khác nhau trong mạng cục bộ.
Phản ứng nhanh với sự thay đổi topo mạng và cập nhật các cây đường ngắn
nhất.
Làm tất cả các điều trên theo định kỳ thời gian.
3. Các Phương Thức Định Tuyến:
A. STATIC ROUTIN.
các bước cấu hình định tuyến
Nhà quản trị cấu hình con đường tĩnh
Router sẽ đưa con đường vào trong bảng định tuyến
Con đường định tuyến tĩnh sẽ được đưa vào sử dụng
:
Router(config)#ip route {destination network} {subnet mask} {nexthop ip
address |outgoing interface} <administrative distance>
Administrative distance (AD) là một tham số tùy chọn, chỉ ra độ tin cậy của mộ
con đường.con đường có giá trị càng thấp thì càng được tin cậy. giá trị AD mặc
định của tuyến đường tĩnh là 1.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 9
DEFAULT ROUTE
: Router(config)#ip route 0.0.0.0 0.0.0.0 {nexthop ip address | outgoing interface}
Default router được sử dụng để gởi các packet đến các mạng đích mà không có
trong bảng định tuyến.thường được sử dụng trên các mạng ở dạng stub network
(mạng chỉ có một con đường để đi ra bên ngoài)
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 10
Router#show running-config
Router#show ip route
B. DYNAMIC ROUTING
Routing Protocol (giao thức định tuyến)
.
Các loại giao thức định tuyến:
Distance Vector: RIP, IGRP. Hoạt động theo nguyên tắt "hàng xóm", nghĩa là
mỗi router sẻ gửi bảng routing-table của chính mình cho tất cả các router được nối
trực tiếp với mình. Các router đó sau đo so sánh với bản routing-table mà mình
hiện có và kiểm xem route của mình và route mới nhận được, route nào tốt hơn sẻ
được cập nhất. Các routing-update sẻ được gởi theo định kỳ (30 giây với RIP , 60
giây đối với RIP-novell, 90 giây đối với IGRP). Do đó, khi có sự thay đổi trong
mạng, các router sẻ biết được khúc mạng nào down liền.
Ưu điểm:
Dễ cấu hình, router không tốn nhiều tài nguyên để xử lí thông tin định tuyến
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 11
Nhược điểm: Hệ thống metric quá đơn giản (như rip chỉ là hop-count) nên có thể xảy ra
việc chọn đường đi tốt nhất (best route) không hoàn toàn chính xác.
Do phải cập nhật định kỳ các routing-table, nên một lượng bandwidth đáng kể
sẽ bị lãng phí, throughput giảm đi mặc dù mạng không có thay đổi.
Các Router hội tụ chậm, sẻ dẫn đến việc sai lệch trong bảng route, thiếu ổn
định (route flaping), Routing LOOP.
Link-state: Linkstate không gởi routing-update, mà chỉ gởi tình trạng [state]
của các cái link trong linkstate-database của mình đi cho các router khác, để rồi tự
mỗi router sẽ chạy giải thuật shortest path first (giao thức OSPF - open shortest
path first), tự xây dựng bảng routing-table cho mình. Sau đó khi mạng đả hội tụ,
link-state protocol sẻ không gởi update định kỳ như Distance-vector, mà chỉ gởi
khi nào có một sự thay đổi trong topology mạng (1 line bị down, cần sử dụng
đường back-up)
Ưu điểm: Scalable: có thể thích nghi được với đa số hệ thống, cho phép người thiết kế
có thễ thiết kế mạng linh hoạt, phản ứng nhanh với thay đổi sảy ra.
Do không gởi interval-update, nên link state bảo đảm được băng thông
cho các đưởng mạng .
Khuyết điểm: Do router phải sử lý nhiều, nên chiếm nhiều tài nguyên, giảm performance .
Một khuyết điểm nửa là: linkstate khá khó cấu hình để chạy tốt , những người
làm việc có kinh nghiệm lâu thì mới cấu hình tốt được, do đó các kỳ thi cao
cấp của Cisco chú trọng khá kỷ đến linkstate
Một số giao thức định tuyến
Routing Information Protocol (RIP)
Interior Gateway Routing Protocol (IGRP)
Enhanced Interior Gateway Routing Protocol (EIGRP) Open Shortest Path
First (OSPF)
a. RIP (Giao thức định tuyến Distance Vector)
Sử dụng hop-count lam metric. Maximum hop-coaunt la 15
Administrative distance là 120
Hoạt đọng theo kiểu tin đồn
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 12
Gởi update định kỳ sau 30 giây. Thong tin gởi đi là toàn bộ bảng định
tuyến
Có 2 verson là RIP v1 và RIP v2
Rip v1: classful (không gửi subnetmask)
RIP v2 classless , hỗ trợ VLSM(có kèm theo subnetmask),authentication
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 13
Cấu hình
:
Router(config)#router rip
Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép gửi
và nhận RIP update bằng câu lệnh :
Router(config-router)#network <network address>
Kiểm tra hoạt động Show ip protocol Show ip route
Debug ip rip để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router. No
debug ip rip hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer Show protocols xem các protocols nào được cấu hình trên các interface
b. IGRP
Giao thức định tuyến Distance vector
Kết hợp sử dụng bang thông (bandwidth) và đọ trễ (delay) làm metric
Administrative distance là 100
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 14
Hoạt động theo kiểu tin đồn
Gởi update định lỳ sau 90 giây . thông tin gủi đi là toàn bộ bảng định tuyến
classful (không gủi subnetmask)
Là giao thức riêng của Cisco Cấu hình
: Router(config)#router igrp <AS> Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép
gủi và nhận IGRP update bằng lệnh :
: Router(config-router)#network <network address>
(*) AS (Autonomous System): là một mạng được quản trị chung với các chính sách
định tuyến chung. Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia
sẻ thông tin tìm đường với nhau.
Kiểm tra hoạt động Show ip protocol Show ip route Debug ip igrp events để xem các cập nhật của IGRP được gửi và nhận trên router.
No debug ip igrp events hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer Show protocols xem các protocols nào được cấu hình trên các interface Debug ip igrp transactions để xem các sự IGRP events được xử lý trên router.
c. EIGRP
Giao thức đọc quyền cua cisco .
Giao thức định tuyến classless(gởi kèm thông tin ve subnet mask trong update).
Giao thức distance-vector.
Chỉ gửi update khi có sự thay đổi trên mạng.
Hỗ trợ các giao thức IP, IPX và Apple Talk.
Hỗ trợ VLSM/CIDR.
Cho phép thực hiện quá trình summarization tại biên mạng.
Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL.
Xây dựng và duy trì các bảng neighbor table,topology table và routing table.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 15
Metric được tính dựa trên các con đường có giá thàng không bằng nhau (unequal-
cost).
Giá trị AD bằng 90.
Khắc phục được vấn đề mạng không liên tục gặp phản đối với các giao thức RIP v1
và IGRP.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 16
Cấu hình
Kích hoạt giao thức dịnh tuyến EIGRP Router(config)# router eigrp <AS number>
Kích hoạt các interface sẽ gởi và nhận update, cũng như khai báo các network cần
quảng bá: Router(config-router)# network <network number>
- : Router(config-router)# no auto
summary
các câu lệnh để troubleshoot: show ip route, show ip route eigrp, show ip eigrp
neighbors, show ip eigrp topology.
d. OSPF
Chuẩn mở .
Giao thức link-state.
Chỉ hỗ trợ giao thức IP.
Gom nhóm các network và router vào trong từng area. Luôn tồn tại area
0(backbone area ).tất cả các area khác (nếu có) dều phải nồi vào area 0.
Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến các
đích.
Cho phép cân bằng trên các con đường bằng giá trị bằng nhau(equal-cost).
Hỗ trợ VLSM/CIDR.
Chỉ gửi update khi có sự thay đổi mạng.
Khắc phục vấn đề liên quan đến discontiguous network.
Xây dựng và duy trì các neighbor database ,topology database .
Giá trị AD bằng 110.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 17
Cấu hình Kích hoạt giao thức định tuyến ÓPF Router(config)#router ospf <process ID>
Cấu hình OSPF area
Router(config-router)#network <network number><wildcard mask> area <area
ID>
Các câu lệnh troubleshoot: show ip route, show ip ospf, show ip ospf database,
show ip ospf interface, show ip ospf neighbor.
PHẦN 3. REMOVING PROTOCOL VÀ SERVICES
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 18
Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo protocol và
service port:
Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source address] [destination address] {service port|eq service} access-list-number: Với Extended Access list, chỉ số này nằm trong khoảng
100- 199, 2000-2069 . Protocol: 0 – 255 IP protocol number (tham khảo tại
http://www.iana.org/assignments/protocol-numbers/protocol-
numbers.xml)hoặc các protocol phổ biến sau:
Ahp Authentication Header Protocol Eigrp Cisco's EIGRP routing protocol Esp Encapsulation Security Payload Gre Cisco's GRE tunneling Icmp Internet Control Message Protocol Igmp Internet Gateway Message Protocol Ip Any Internet Protocol Ipinip IP in IP tunneling Nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 19
pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol
Services và port number tương ứng:
Well-known ports: 0–1023 Tham khảo đầy đủ tại http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Reg
istered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:
21: File Transfer Protocol (FTP)
22: Secure Shell (SSH)
23: Telnet remote login service
25: Simple Mail Transfer Protocol (SMTP)
53: Domain Name System service
80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web
110: Post Office Protocol (POP)
119: Network News Transfer Protocol (NNTP)
161: Simple Network Management Protocol (SNMP)
443: HTTPs with Transport Layer Security or Secure Sockets Layer
Registered ports: 1024–49151 Tham khảo đầy đủ tại http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Reg
istered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:
1080 TCP SOCKS proxy
1167 UDP phone, conference calling
1194 TCP UDP OpenVPN
1220 TCP QuickTime Streaming Server administration
1234 UDP VLC media player Default port for UDP/RTP stream
1293 TCP UDP IPSec (Internet Protocol Security)
1352 TCP IBM Lotus Notes/Domino[36] (RPC) protocol
1470 TCP Solarwinds Kiwi Log Server
1503 TCP UDP Windows Live Messenger (Whiteboard and Application
Sharing)
1512 TCP UDP Microsoft Windows Internet Name Service (WINS)
1513 TCP UDP Garena Garena Gaming Client
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 20
Dynamic, private or ephemeral ports: 49152–65535 Gồm các port được sử dụng
mà không cần đăng kí với IANA, sử dụng trong các dịch vụ chạy trong mạng nội
bộ, hoặc các dịch vụ phát triển riêng.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 21
PHẦN 4: ACCESS CONTROL LISTS (ACL)
I. Một số khái niệm về ACL. ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router.
Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại
packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ
nguồn, địa chỉ đích hoặc chỉ số port
ACL(Access–control-list) được sử dụng cho lưu thông Layer 3 (routable traffic).
Acl dùng để xác định gói tin lưu chuyển vào ra trên giao diện router, kết quả sau khi
xác định có thể sử dụng vào nhiều mục đích khác nhau như là :
Xử lý các chính sách an ninh ( xác thực, VPN, Firewal)
Xử lý các chính sách định tuyến (Destination / source –based routing)
Xử lý các chính sách NAT/PAT
1. Access-list dùng để làm gì?
Access-list dùng để lọc lưu lượng mạng bằng cách kiểm soát việc định
tuyến các gói tin được chuyển tiếp hoặc chặn lại tại router. Khi đó
router kiểm tra từng gói tin liệu để chuyển tiếp hay là đánh rớt các gói
tin dựa trên danh sách đã được ta định sẵn.
Access có thể là địa chỉ nguồn của lưu lượng truy cập, địa chỉ đích của
giao thông, giao thức lớp trên hoặc các thông tin khác. Người dùng có
thể đôi khi thành công thoát khỏi aceess-list cơ bản vì không yêu cầu
xác thực.
2. Tại sao phải sữ dụng ACLs?
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 22
- Quản lý các IP traffic - Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc
các packet qua router
• Chức năng: +Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing) + Thuận tiện cho việc lọc gói tin ip + Cung cấp tính sẵn sàng mạng cao
2. Các loại ACLs
Có 2 loại Access lists chính là: Standard Access lists và Extended Access lists
Standard ACLs:
Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng nên được đặt gần đích
(Destination).
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 23
Extended ACLs:
Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network
layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport
layer header”. Nên đặt gần nguồn (source).
Complex ACLs: Ngoài ra còn có thêm các ACLs khác như: Dynamic ACLs,
Reflexive ACLs, Time-base ACLs.
Dynamic ACLs: Lock and key cho phép lọc các ip tracffic động.
Dùng ACLs extended trong việc tạo ra các ACLs bảo mật hơn
Sử dụng khi có host từ xa muốn truy cập đến localhost
Reflexive ACLs: Ngăn chặn những traffic lạ từ ngoài vào trong localhost
Những tracffic từ trong ra ngoài thì được cho phép từ ngoài đi vào trong
Time-base ACLs Quản lý ACLs theo thời gian mà người quản trị qui định trước
3. Cách đặt ACLs. a. Inbound ACLs.
Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên
Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra
ngoài (outbound interface). Tại đây những gói tin sẽ “dropped” nếu không trùng
với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ
được xử lý trước khi chuyển giao (transmission).
b. Outbound ACLs.
Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định
tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài
hàng đợi (outbound queue).
4. Hoạt động của ACLs.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 24
- ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu
hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh
sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.
Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì
một câu lệnh mặc định “deny any” được thực hiện. Cuối access- list mặc định sẽ là
lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu
lệnh permit.
Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách.
Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích.
Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó.
5. Chú ý: Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface.
Một interface có thể có nhiều ACL.
Router không thể lọc traffic mà bắt đầu từ chính nó.
Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách,
nó sẽ đặt cuối danh sách.
Standard ACLs: Nên đặt gần đích của traffic.
Extended ACLs: Nên đặt gần nguồn của traffic.
Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều
“OUT”
6. Thuật toán hoạt động Hình ảnh mô tả hoạt động của ACLs:
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 25
Cổng vào dữ liệu được gọi là Incoming, cồng ra là Outcomming, trước tiên nó sẽ
dò bảng định tuyến, nếu đã đúng thì tiếp điến là kiểm tra ACLs, nếu đúng thì đi
tiếp, ngược lại sẽ bi huỷ bỏ.
ACLs hoạt động theo thứ tự và thực hiện câu lệnh đầu tiên nếu nó matched.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 26
Hình trên cho ta thấy ACLs kiểm tra các danh sách truy cập như thế nào.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 27
II- Cấu hình Access control lists .
1. Standard Access lists. Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999. Có 2 bước để tạo ACLs: B1: Định nghĩa danh sách ACLs để đặt vào interface. router(config)#access-list [ACL number] [permit|deny] [source address] [wildcard
mask] [log]
Hoặc là : router(config)#access-list [ACL number] [permit|deny] [host|any] [source address]
B2: Sau đó đặt danh sách(ACLs) vào interface trên router mà ta muốn chặn gói tin
ngay tại đó.
router(config)#interface [interface-number]
router(config-if)#ip access-group [ACL number] [in out] - vì standard access list chỉ kiểm tra được địa chỉ nguồn nên phải áp access list vào cổng gần đích nhất
2. Extended Access lists. #: Extanded ACLs sử dụng số từ 100 -> 199 hay 2000 -> 2699.
Cũng giống standard ACL và thêm một số cách lọc gói tin như: Source and
destination IP address (Địa chỉ nguồn địa chỉ đích) IP protocol – TCP, UDP, ICMP
(cấm giao thức)
Port information (WWW, DNS, FTP, TELNET,…) ( cấm các dịch vụ thông qua
các cổng hoạt động của nó) Các lệnh cấu hình:
Ta cũng thực hiện 2 bước giống như Standard ACLs B1: Tạo access list tại grobal config mode router(config)#access-list [#] [permit deny] [protocol] [source address] [wildcard
mask] [operator source port] [destination address] [wildcard mask] [operator
destination port] [log]
Hoặc
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 28
router(config)#access-list [#] [permit deny] [protocol] [host] [source address]
[host] [destination address][ lt, gt, neq, eq, range] [port number]
B2: ÁP DỤNG ACCESS LIST VÀO CỔNG router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] - interface access control Một số port thông dụng: 21 FTP 23 TELNET 25 SMTP 53 DNS 69 TFTP 80 WWW 161 SNMP 520 RIP
3. Complex ACLs a. Dynamic ACLs: Các bước cấu hình: B 1: Tạo một tài khoản người dùng local trên router B 2: Tạo một Extended ACLs cho phép tất cả các host được telnet đến host
10.2.2.2. Khi telnet thành công sẽ cho phép đường mạng 192.168.10.0 đi qua
đường mạng 192.168.30.0 với thời gian timeout 15 phút (absolute time)(ALCs
động sẽ sinh ra khi lệnh access-enable được bật lên và sẽ mất đi sau 15 phút bất
chấp user có sử dụng nó hay ko)
B 3: Gán ACLs cho interface chỉ định B 4: Chỉ định nếu user telnet và xác thực thành công thì sẽ thiết lập một session 5
phút, nếu user ko sử dụng session này nó sẽ kết thúc sau 5 phút (idle timeout) nếu
user sử dụng session này nó sẽ kết thúc sau 15 phút.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 29
b. Replexive ACLs Cấu hình ACLs cho phép ICMP và TCP traffic cả chiều inbound và outbound
nhưng chỉ cho phép nếu gói tin đầu tiên của session bắt nguồn từ mạng nội bộ. Tất
cả các traffic khác sẽ bị cấm. Reflexive ACLs được gán trên interface s0/1/0
Các bước cấu hình: B 1: Tạo một Extend name ACLs để cho phép các traffic đi ra ngoài Internet B 2: Tạo một Extend name ACLs để chứa Reflexive ACLs tự động được tạo ra
khicó gói outbound match với Name ACLs ở bước 1.
B 3: Gán các name ACLs cho interface
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 30
c. Time-base ACLs
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 31
Các bước cấu hình: B 1. Định nghĩa khoảng thời gian để thi hành ACLs và đặt cho nó một cái
tên.(khoảng thời gian này phụ thuộc vào giờ hệ thống trên router, chức năng này
làm việc tốt với sự đồng bộ thời gian của giao thức Network Time Protocol (NTP)
nhưng lúc này đồng hồ của router không được sử dụng. )
B 2. Áp dụng khoảng thời gian này cho ACLs B 3. ÁP dụng ACL cho interface.
III- Quản lý các ACLs .
Hiển thị tất cả ACLs đang sử dụng. Router(config)#show running-config
Xem ACLs hoạt động trên interface nào đó. Router(config)#show interface [ #
]
Xem việc đặt và hướng đi của ip ACLs:Router(config)#show ip interfaces [ # ]
Xem những câu lệnh ACLs: Router(config)#show access-list [ # ]
Hiển thị tất cả ip ACLs: Router#show ip access-list
Hiển thị ip ACL 100: Router#show ip access-list 100
Xóa bộ đếm (to clear the counters use): router(config)#show access-list [ # ]
router(config)#clear access-list counter [ # ]
Xóa Access list
router(config)#no ip access-list [standard-extended][#]
router(config)#interface [interface-number]
router(config-if)#no access-list [#] [permit deny] [source address] [wildcard
mask]
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 32
PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING
1. Khái niệm về route-filtering: Khi chạy nhiều giao thức chung với nhau và có nhu cầu redistribution từ giao thức
này vào giao thức kia ta có thể gặp phải vấn đề đường dẫn không tối ưu, route
feedback (sau khi redistribute route xong route lại quay ngược về nơi sinh ra do
distance của giao thức được redistribute vào thấp hơn)
Sử dụng tính năng lọc route giúp nhà quảng trị điều khiển được những route quảng bá, redistribute, … Việc lọc route những giao thức distance thì hiệu quả hơn những giao thức link-
state. Vì giao thức với giao thức distance thì router quảng bá route dựa trên bảng
routing table cả nó.
Những router đang chạy link-state protocol xác định route của chúng dựa trên
thông tin trong link-state database hơn là những route được neighbors quảng bá
vào nó. Việc lọc route không ảnh hưởng đến quảng bá trạng thái link hay bảng
link-state database.
Kết quả việc lọc route có thể tác động trên router được cấu hình lọc nhưng không
ảnh hưởng đến route đi vào router neighbor. (đối với Link-state, bởi vì nó quảng bá
trạng thái của link)
Vì vậy việc lọc route thì thường được sử dụng trên con ASBR vì nơi đây route sẽ
đi vào và đi ra giống dạng của distace vector.
Access-list được sử dụng để chọn route (route selection) trong distribute-list và
route-map
2. Distribute-list Distribute-list được dùng nhiều trong quá trình thực hiện kiểm soát và tối ưu các
routes (route control & optimize). Một trong những ứng dụng thường thấy là trong
quá trình redistribution của các routing protocols với nhau. Distribute-list được
dùng để chống hiện tượng route-feedback.
Cách sử dụng:
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 33
- Chỉ ra những địa chỉ network bạn muốn loại bỏ (filter) và tạo ra một access-list.
Bạn cũng cần xác định bạn muốn lọc theo chiều incoming hay chiều outgoing. - Nếu dùng theo chiều OUT: distribute-list access-list-number out [interface-
name]
Trong trường hợp này thì distribute-list out sẽ không cho một số routes được quảng
bá ra từ router.
- Nếu dùng theo chiều IN: distribute-list access-list-number in [interface-name] Distribute-list sẽ ngăn không cho những routes nào đó được đưa vào bảng routing-
table.
Dưới đây là một số ví dụ
IGRP Route Filtering:
router igrp 10 network 140.10.0.0 redist rip
default-metric 1 1 1 1 1 distr-list 1 in
access-list 1 deny 170.10.0.0 0.0.255.255 access-list 1 permit any any
Routes 170.10.0.0 sẽ không được đưa vào bảng routes. EIGRP IP Filtering
router eigrp 1 network 172.16.0.0 network 192.168.5.0 distribute-list 7 out s0
access-list permit 172.16.0.0 0.0.255.255
RIP
access-list 1 deny 10.2.2.0 0.0.0.255 access-list 1 deny 172.16.0.0 0.0.0.255.255 access-list 1 permit any
router rip
distrbute-list 1 in e0
3. Route-map
Route map là các công cụ trong đó các logic “if/then” có thể được áp dụng cho một
router. Các route-map là các công cụ lập trình được dùng để kiểm soát quá trình
redistribution, để hiện thực PBR, để kiểm soát quá trình NAT hoặc để hiện thực
BGP.Có thể dùng route-map cho các mục đích sau đây:
Để kiểm soát quá trình redistribution: các route map cho phép kiểm soát một
mức cao hơn so với cách dùng distribution list. Route-map không đơn thuần
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 34
ngăn chặn hay cho phép một mạng giống như distribute list mà còn có khả
năng gán metric cho những route bị so trùng .
Để kiểm soát và thay đổi thông tin định tuyến: các route map được dùng để
thay đổi thông tin định tuyến bằng cách gán giá trị metric cho các route.
Định nghĩa chính sách trong PBR: các route-map ra các quyết định dựa trên
địa chỉ nguồn. Khi một phép so trùng được tìm thấy trong access-list, sẽ có
các hành động tương ứng.
Để thêm vào mức độ tinh tế trong cấu hình NAT: các route map định nghĩa
dãy của các địa chỉ public và địa chỉ private. Có các lệnh show để giám sát
và kiểm tra hoạt động của NAT.
Để hiện thực BGP: một trong những điểm mạnh của giao thức BGP là khả
năng thực hiện policy based routing. Các thuộc tính trong BGP được dùng
để ảnh hưởng đến đường đi cho traffic. Các thuộc tính này thường được
hiện thực dùng route maps. Nếu có một phép so trùng thì áp dụng thuộc tính
này. Khi này dùng lệnh set để thực hiện. Route map là phương thức chủ yếu
được dùng bởi BGP để định nghĩa chính sách định tuyến BGP.
Route map rất giống ACL. Cả hai thực hiện tác vụ if/then, trong đó các tiêu chí
được dùng để xác định là gói tin có được cho phép hoặc từ chối hay không. Sự
khác nhau cơ bản là route map có khả năng thực hiện hành động thay đổi thuộc
tính đến các gói dữ liệu thõa điều kiện so trùng. Trong một ACL, tiêu chí so trùng
là ngầm định,trong một route map, đó là một keyword. Điều này có nghĩa rằng, nếu
một gói thỏa với một tiêu chuẩn cho trong một route map, một vài hành động phải
được thực hiện để thay đổi gói, trong khi accesslist chỉ đơn giản cho phép hoặc từ
chối một gói.
Các đặc điểm của route map được tóm tắt trong danh sách sau: Một route map có một danh sách các tiêu chí và tiêu chuẩn chọn lựa, được liệt
kê với phát biểu mạtch.
Một route map có khả năng thay đổi các gói hoặc các route bị so trùng bằng cách dùng lệnh set. Một tập hợp của các phát biểu mạch có cùng tên được xem là cùng một route
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 35
map Route map sẽ ngừng xử lý ngay khi có một phép so trùng được thực hiện,
giống như một ACL.
Trong một route map, mỗi phát biểu được đánh số thứ tự và có thể được soạn
thảo riêng lẽ.
Số thứ tự được dùng để chỉ ra thứ tự trong đó các điều kiện được kiểm tra. Như vậy nếu hai phát biểu trong route map có tên là BESTTEST, một phát biểu có
chỉ số là 5, một phát biểu có chỉ số là 15 thì phát biểu có chỉ số là 5 sẽ được kiểm
tra trước. Nếu không có một phát biểu match trong phát biểu 5 thì phát biểu thứ 15
sẽ được kiểm tra.
Route map có thể dùng các IP access-list chuẩn hoặc mở rộng để thiết lập các
chính sách định tuyến.
Các access-list mở rộng có thể được dùng để chỉ ra tiêu chí so sánh dựa trên
phần địa chỉ nguồn và địa chỉ đích, ứng dụng, kiểu giao thức, kiểu dịch vụ ToS
và độ ưu tiên.
Lệnh match trong các cấu hình route map được dùng để định nghĩa điều kiện
phải kiểm tra.
Lệnh set trong cấu hình route map được dùng để định nghĩa hành động theo sau một phát biểu so sánh. Một route map có thể chứ các phép AND và OR. Giống như một access-list, có
một phát biểu ngầm định DENY ở cuối một route map. Hành động theo sau của
phát biểu deny này tùy thuộc route map được dùng như thế nào. Để hiểu điều
này một cách chính xác, bạn cần hiểu chính xác route map hoạt động như thề
nào.
Danh sách sau đây sẽ giải thích logic của hoạt động route-map: Phát biểu của route map dùng cho PBR có thể được đánh dấu như là permit
hoặc deny
Chỉ nếu phát biểu được đánh dấu như permit và gói tin bị so trùng, lệnh set mới được áp dụng. Các phát biểu trong route-map sẽ tương ứng với các dòng của một access- list.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 36
Chỉ ra một điều kiện so sánh trong route map thì cũng tương tự như chỉ ra
nguồn và đích trong access list
Các phát biểu trong route map được so sánh với đường đi của gói để xem có
một so trùng nào đó hay không. Các phát biểu này sẽ được lần lượt kiểm tra từ
trên xuống dưới.
Một phát biều so trùng có thể chứa nhiều điều kiện. Ít nhất một điều kiện trong phát biểu match phải là đúng. Đây là phép logic OR Một route-map có thể chứa nhiều phát biểu so sánh. Tất cả các phát biểu match
trong route map phải được xem xét là đúng để cho phát biểu của route map là
so trùng. Điều kiện này gọi là phép logic AND.
Route-map được sử dụng trong bốn trường hợp: Dùng với NAT Dùng trong redistribution Dùng với BGP Dùng trong PBR Câu lệnh access list trong Cisco IOS thường được dùng như là một công cụ để
chọn lựa "matching" một mẫu traffic nào đó đi qua router. Như bạn cũng đã biết, ở
trạng thái bình thường, router cho phép hầu như mọi lưu lượng IP đi qua nó. Nếu,
trong một điều kiện nào đó, bạn không muốn cho lưu lượng mail (SMTP/POP3)
được đi qua router, bạn cần cấm các traffic này. Lúc này, bạn viết ra một access-
list, "quan tâm" đến TCP (SMTP/POP3). Sau đó bạn áp access list vào cổng của
router, theo chiều IN/OUT.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 37
Trong ví dụ trên, access list được dùng để lọc gói. Ví dụ cũng chỉ ra là bạn cần chỉ ra traffic mà bạn đang quan tâm (SMTP/POP3), bước kế tiếp là bạn áp dụng access list vào một interface nào đó của router.
Vậy, ACL là một công cụ để lựa ra một loại traffic nào đó mà mình quan tâm.
Công cụ route-map trong Cisco IOS cung cấp một thuận toán tương tự như logic If/Then/Else thường thấy trong các ngôn ngữ lập trình. Một route map chứa một
hoặc nhiều câu lệnh route-map và router sẽ xử lý các câu lệnh route-map dựa vào
thứ tự đi kèm với chúng.
Mỗi câu lệnh route-map có những thông số so trùng (match) bên trong được cấu
hình bằng câu lệnh match. (Để so trùng tất cả gói tin, một mệnh đề route-map chỉ
đơn giản đưa ra một câu lệnh match). Đồng thời, câu lệnh route-map cũng có một
hoặc nhiều câu lệnh tùy chọn set dùng để áp đặt thông tin, chẳng hạn áp đặt metric
cho một số route được redistribute.
Như vậy, một cảm giác giống nhau giữa hai câu lệnh là cả hai cùng có thể thể hiện
thuận toán if-then khi cấu hình router. Tuy nhiên, sự khác nhau là route-map mang
tính chất tổng quát hơn. Và trong route map cũng có dùng access list.
Các quy luật tổng quát của route map như sau: Mỗi câu lệnh route-map phải có một tên gọi rõ ràng, tất cả các câu lệnh có cùng
tên gọi này đều thuộc chung một route map.
Mỗi câu lệnh route-map phải có một hành động (permit hoặc deny). Mỗi câu lệnh route-map có một số thứ tự duy nhất, cho phép xóa, chèn các câu lệnh route-map đơn. Khi dùng route-map trong quá trình redistribute, route map sẽ xử lý route lấy từ
bảng định tuyến hiện thời chứ không lấy từ database.
Route map được xử lý tuần tự dựa vào số thứ tự đính kèm trong các câu lệnh route-map.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 38
Khi một route cụ thể đã được so trùng trong route map, nó sẽ không được xử lý
trong các câu lệnh route-map đằng sau đó nữa (dùng cho redistribution).
Khi một route đã được so trùng với phát biểu route map, nếu route-map có thông số
permit đi kèm thì route đó sẽ được redistribute (dùng cho redistribution).
Khi một route đã được so trùng với phát biểu route map, nếu route-map
có thông số deny đi kèm thì route đó sẽ không được redistribute (dùng
cho redistribution)
Route map thường hay gây nhầm lẫn, đặc biệt khi dùng thông số deny
trong câu lệnh route-map.
Ví dụ về route-map: Route-filtering in redistribution: Router(config)# access-list 1 deny 192.168.1.0 0.0.255 Router(config)# access-list 1 deny 192.168.2.0 0.0.255 Router(config)# access-list 1 permit any Router(config)# route-map MYMAP permit 10 Router(config-route-map)# match ip address 1 Router(config-route-map)# set tag 150
Router(config)# router ospf 1 Router(config-router)# redistribute eigrp 10 metric 3 subnets route-map MYMAP BGP route-filtering: Router(config)# access-list 1 permit 10.1.1.0 0.0.0.255 Router(config)# route-map MYMAP permit 10 Router(config-route-map)# match ip address 1 Router(config-route-map)# set metric 100 Router(config-route-map)# route-map MYMAP permit 20
Router(config)# router bgp 100 Router(config-router)# neighbor 172.16.1.1 route-map MYMAP out
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 39
PHẦN 6. CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS)
1. Syslog:
Syslog là một công cụ (phần mềm) sử dụng để lưu trữ các sự kiện xảy ra trên
một thiết bị, hệ thống phục vụ cho công tác quản trị, phát hiện các xâm nhập trái
phép... Syslog được xây dựng dựa trên các Trap (phân loại các sự kiện) có tất cả
khoảng 7Trap. Nhưng thông thường thì chỉ dùng Trap Information với Trap
Debugging.
Cấu hình Log chỉ cần vài câu lệnh và một máy tính cài sẵn phần mềm Syslog.
Các phần mềm Syslog có thể sử dụng là Kiwi-Syslog (Free), Solarwind tốn phí ....
Câu lệnh để cấu hình : Router(config)#logging <địa chỉ IP của máy cài phần mềm Syslog> Router(config)#logging trap debugging (có thể thay thế debugging bằng số 7).
Rất nhiều thiết bị của Cisco bao gồm router,switch,Pix firewall,ASA… đều có
khả năng sử dụng syslog để gởi các thông tin về hệ thống,cảnh báo.Ví dụ như
một Cisco router sẽ tạo ra một syslog nếu cổng bị down hay có sự thay đổi về cấu
hình.Ta có thể cấu hình cho các thiết bị Cisco gởi thông tin syslog đến 1
syslog server ở bên ngoài để có thể lưu trữ tập trung, trong trường hợp kết nối đến
syslog server bị ngắt thì toàn bộ thông tin về syslog của thiết bị sẽ được lưu trữ cục
bộ.
Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để
truyền dữ liệu. Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin
sau:
Facility(1): phân loại nguồn sinh ra syslog (ứng dụng, hệ điều hành, các tiến
trình..) Mặc định, thiết bị sử dụng Cisco IOS, CatOS switches, và VPN 3000
Concentrators sử dụng facility là local7 , trong khi đó Cisco PIX Firewalls sử
dụng local4 trong thông tin syslog.
Severity(2): Mức độ phát sinh ra các thông tin syslog được phân chia ra như sau:
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 40
0 Emergency: System is unusable.
1 Alert: Action must be taken immediately.
2 Critical: Critical conditions.
3 Error: Error conditions.
4 Warning: Warning conditions.
5 Notice: Normal but significant condition.
Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các vấn đề
liên quan các vấn đề về phần mềm và phần cứng. Tiến trình khởi động lại ,cổng
up/down thì được gởi với mức Notice. Hệ thống khởi động lại là mức Informational. Kết quả của lệnh debug là mức Debug. Hostname(3): Có thể là tên hoặc Ip của thiết bị sinh ra syslog Timestamp(4):Thời gian sinh ra syslog theo định dạng MMM DD HH:MM:SS
.Thời gian sinh ra syslog phải chính xác nên khi triển khai dịch vụ này ta thường
kết hợp với giao thức NTP(Network Time Protocol) để đồng bộ thông tin về thời
gian trên tất cả thiết bị .
Message(5): Nội dung Syslog
6
Informational:
Informational messages.
7 Debug: Debug-level messages.
Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs
Nhóm 10 Page 41
Giao diện chương trình Kiwi Syslog
Recommended