Bài giảng Công nghệ và thiết bị mạng

hiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
65
 Một wildcard mask dài 32 bit được chia làm 4 Octet. Mỗi một wildcard mask đi 
cùng với một địa chỉ IP. Số bit 0 và 1 trong wildcard mask được sử dụng để xác định 
cách xử lý bit tương ứng trong địa chỉ IP. 
 Hình 5.6. Cấu trúc của wildcard mask và địa chỉ IP 
Subnet mask có chuỗi bit 1 bắt đầu từ trái kéo dài sang phải để xác định phần host và 
phần mạng trong một địa chỉ IP. Trong khi đó wildcard mask được thiết kế để lọc ra một 
địa chỉ IP riêng lẻ hay một nhóm địa chỉ IP để cho phép hay từ chối truy cập dựa trên địa 
chỉ IP. Giá trị 0 và 1 trong wildcard mask có ý nghĩa khác với bit 0 và 1 trong subnet 
mask. Để tránh nhầm lẫn, chữ x được sử dụng để thay thế bit 1 trong wildcard mask. Ví 
dụ, wildcard mask là 0.0.255.255. Bit 0 có nghĩa là bit tương ứng trong địa chỉ IP phải 
kiểm tra, còn bit x (bit 1) có nghĩa là bit tương ứng trong địa chỉ IP có thể bỏ qua không 
cần kiểm tra. Trong quá trình wildcard mask, địa chỉ IP trong mỗi câu lệnh được kết hợp 
với wildcard mask trong câu lệnh đó để tính ra giá trị chuNn. Giá trị này dùng để so sánh 
với địa chỉ của các gói dữ liệu đang được kiểm tra bởi câu lệnh ACL. N ếu hai giá trị này 
giống nhau thì có nghĩa là điều kiện về địa chỉ đã được thỏa mãn. Có hai từ khóa đặc biệt 
được sử dụng trong ACLs là any và host. Any đại diện cho IP 0.0.0.0 và wildcard mask 
là 255.255.255.255, host đại diện cho wildcard mask 0.0.0.0. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
66
 Hình 5.7. Quá trình kết hợp IP và wildcard mask 
5.1.5. Kiểm tra ACLs 
 Có rất nhiều lệnh show được sử dụng và kiểm tra nội dung và vị trí đặt ACLs trên 
router. Lệnh show ip interface hiển thị thông tin của các cổng IP trên router và cho biết 
có ACLs được đặt trên các cổng hay không. Lệnh show access-lists sẽ hiển thị nội dung 
của tất cả các ACLs trên router. Để xem cụ thể một ACL nào thì cần thêm tên hoặc số 
vào sau câu lệnh show access-lists 
 Hình 5.8. Ví dụ về một lệnh show 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
67
5.2. Danh sách kiểm tra truy cập 
5.2.1. ACLs cơ bản 
 ACLs cơ bản thực hiện kiểm tra địa chỉ IP nguồn của gói dữ liệu. Kết quả kiểm tra 
sẽ dẫn đến kết quả là cho phép hay từ chối truy cập toàn bộ các giao thức dựa trên địa 
chỉ mạng, subnet hay host. Trong chế độ cấu hình toàn cục, lệnh access-list được sử 
dụng để tạo ACL cơ bản với số ACL nằm trong khoảng từ 1 đến 99. 
 Ví dụ: 
 Access-list 2 deny 172.16.1.1 
 Access-list 2 permit 172.16.1.0 0.0.0.255 
 Access-list 2 deny 172.16.0.0 0.0.255.255 
 Access-list 2 permit 172.0.0.0 0.255.255.255 
Câu lệnh ACL đầu tiên không có wildcard mask, trong trường hợp này wildcard mask 
mặc định được sử dụng là 0.0.0.0. Điều này có nghĩa là toàn bộ địa chỉ 172.16.1.1 phải 
được thỏa, nếu không thì router sẽ phải kiểm tra câu lệnh kế tiếp trong ACL. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
68
Hình 5.9. Hoạt động của ACL cơ bản 
 Cấu trúc đầy đủ của lệnh ACL cơ bản: 
 Router(config)#access-list access-list-number {deny / permit} 
 Source [ source wildcard ] [ log ] 
 Dạng no của câu lệnh được sử dụng để xóa ACLs: 
 Router(config)#no access-list access-list-number 
5.2.2. ACLs mở rộng 
 ACLs mở rộng thường được sử dụng nhiều hơn ACLs cơ bản vì nó có khả năng 
kiểm soát lớn hơn nhiều. ACLs mở rộng kiểm tra điạ chỉ nguồn và đích của gói dữ liệu, 
kiểm tra cả giao thức với số cổng. Do đó rất thuận tiện trong việc cấu hình các điều kiện 
kiểm tra cho ACL. Gói dữ liệu được chấp nhận hay từ chối là dựa trên vị trí xuất phát và 
đích đến của gói dữ liệu cùng với loại giao thức và số cổng của nó. Ví dụ, một ACL mở 
rộng có thể cho phép lưu lượng của Email từ cổng Fa0/0 ra cổng S0/0 và từ chối các lưu 
lượng của Web và FTP. Khi gói dữ liệu bị hủy bỏ vì bị từ chối, một số giao thức sẽ gửi 
thông điệp phản hồi về cho máy gửi để thông báo là dữ liệu không đến đích được. 
 Trong một ACL có thể có nhiều câu lệnh. Các câu lệnh có cùng số ACL là nằm 
trong cùng một danh sách ACL. Có thể cấu hình số lượng ACL với số lượng không hạn 
chế và chỉ phụ thuộc vào dung lượng bộ nhớ của router. 
 Ví dụ: 
 Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet 
 Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp 
 Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data 
Ở cuối câu lệnh ACL mở rộng có thông số về số port TCP và UDP để xác định chính xác 
hơn loại gói dữ liệu. Có thể xác định số port bằng các tham số eq (equal: bằng), neq 
(not equal: không bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn). ACL mở rộng sử 
dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 đối với các IOS gần đây). 
 Lệnh ip access-group được sử dụng để gán một ACL mở rộng đã có vào một 
cổng của router. Một ACL cho một giao thức cho một chiều trên một cổng. 
 Ví dụ: 
 Router(config-if)#ip access-group access-list-number {in | out} 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
69
5.2.3. Đặt tên ACLs 
 Đặt tên ACLs có những ưu điểm sau: 
 Xác định ACL bằng tên sẽ mang tính trực giác hơn 
 ACLs đặt tên có thể chỉnh sửa mà không cần phải xóa toàn bộ ACLs rồi viết lại từ 
đầu như ACLs đặt theo số. 
 Không còn bị giới hạn tối đa 798 ACLs cơ bản và 799 ACLs mở rộng. 
 Ví dụ về cấu hình đặt tên ACL: 
 TN (config)#ip access-list extended server-access 
 TN (config-ext-nacl)#permit TCP any host 131.108.101.99 eq mstp 
 TN (config-ext-nacl)#permit UDP any host 131.108.101.99 eq domain 
 TN (config-ext-nacl)#deny ip any any 
 TN (config-ext-nacl)#^Z 
 Applying the name list: 
 TN (config)#interface fastethernet 0/0 
 TN (config-if)#ip access-group server-access out 
 TN (config-if)#^Z 
 Những điểm cần lưu ý khi thực hiện đặt tên ACLs: 
 ACLs đặt tên không tương thích với các Cisco IOS phiên bản trước 11.2, 
 Không sử dụng chung một tên cho nhiều ACLs khác nhau. Ví dụ, không thể có một 
ACL cơ bản và một ACLs mở rộng có cùng tên là TN . 
5.2.4. Vị trí đặt ACLs 
 ACLs được sử dụng để kiểm soát lưu lượng bằng cách lọc gói dữ liệu và loại bỏ 
các lưu lượng không mong muốn trên mạng. Vị trí đặt ACLs rất quan trọng, nó giúp cho 
hoạt động của toàn bộ hệ thống mạng được hiệu quả. 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
70
 Hình 5.10. Vị trí đặt ACLs 
N guyên tắc chung là: Đặt ACLs mở rộng càng gần nguồn của nguồn lưu lượng mà ta 
muốn chặn lại càng tốt. ACLs cơ bản không xác định địa chỉ đích nên đặt chúng ở càng 
gần đích càng tốt. 
5.2.5. Bức tường lửa 
 Bức tường lửa là một cấu trúc ngăn giữa người dùng bên trong hệ thống mạng với 
hệ thống bên ngoài để tránh những kẻ xâm nhập bất hợp pháp. Một bức tường lửa bao 
gồm nhiều thiết bị làm việc cùng nhau để ngăn chặn các truy cập không mong muốn. 
 Hình 5.11. Cấu trúc bức tường lửa 
Trong cấu trúc này, router kết nối ra Internet được gọi là router ngoại vi, sẽ đưa tất cả các 
lưu lượng nhận vào đến Application gateway. Kết quả là gateway có thể kiểm soát việc 
phân phối các dịch vụ đi ra và đi vào hệ thống mạng. Khi đó, chỉ những user nào được 
phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
71
thể thiết lập kết nối cho host bên trong và bên ngoài. Điều này giúp bảo vệ Application 
gateway và tránh cho nó bị quá tải bởi những gói dữ liệu vốn là sẽ bị hủy bỏ. 
 Do đó ACLs đặt trên router đóng vai trò như bức tường lửa, đó là những router ở vị 
trí trung gian giữa mạng bên trong và mạng bên ngoài. Router bức tường lửa này sẽ cách 
ly cho toàn bộ hệ thống mạng bên trong tránh bị tấn công. ACLs cũng nên sử dụng trên 
router ở vị trí trung gian kết nối giữa hai phần của hệ thống mạng và kiểm soát hoạt động 
giữa hai phần này. 
5.2.6. Giới hạn truy cập vào đường vty trên router 
 ACLs cơ bản và mở rộng đều có hiệu quả đối với các gói dữ liệu đi qua router. 
N hưng chúng không chặn được các gói dữ liệu xuất phát từ chính bản thân router đó. Do 
đó một ACL mở rộng ngăn hướng Telnet ra sẽ không thể ngăn chặn được các phiên 
Telnet xuất phát từ chính router đó. 
 Hình 5.12. Truy cập vào đường vty trên router 
 Trên router có các cổng vật lý như cổng Fa0/0 và S0/0 cũng có các cổng ảo. Các 
cổng này gọi là đường vty được đánh số từ 0 đến 4. Giới hạn truy cập vào đường vty sẽ 
tăng khả năng bảo vệ cho hệ thống mạng. Quá trình tạo vty ACLs cũng giống như tạo 
các ACL khác, nhưng khi đặt ACLs vào đường vty thì dùng lệnh access-class thay vì 
dùng lệnh access-group 
 Ví du: 
 Creating the standard list: 
 Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255 
 Router1(config)#access-list 2 permit 172.16.2.0 0.0.0.255 
 Router1(config)#access-list 2 deny any 
 Applying the access list: 
Khoa CNTT- Bài giảng môn Công nghệ và thiết bị mạng 
-------------------------------------------------------------------------------------------------------------- 
72
 Router1(config)#line vty 0 4 
 Router1(config-line)#password secret 
 Router1(config-line)#access-class 2 in 
 Router1(config-line)#login 
TÀI LIỆU THAM KHẢO 
[1]. Cisco Certified N etwork Associate – Semester 2 – Cisco Press 
[2]. Interconnecting Cisco N etwork Devices - Cisco Press 
[3]. www.cisco.com