Để có thể cấu hình và thực hiện các ACL, bạn cần phải hiểu được năng
lực của chúng được sử dụng. Thiết bị Cisco sử dụng ACL vào hai chức năng
chính: phân loại và lọc. Sau đây giải thích mỗi chức năng:
Phân loại (Classification): Thiết bị định tuyến cũng sử dụng ACL để
xác định luồng dữ liệu truy cập cụ thể. Sau khi một ACL đã xác định và
phân loại luồng truy cập, bạn có thể cấu hình router về cách xử lý các
luồng dữ liệu. Ví dụ, bạn có thể sử dụng một ACL để xác định các mạng
con điều hành (subnet) như là nguồn lưu lượng truy cập (traffic source)
và sau đó cung cấp quyền ưu tiên so với các loại các luồng dữ liệu khác
trên một liên kết WAN tắc nghẽn (congested WAN).
183 trang |
Chia sẻ: luyenbuizn | Lượt xem: 1080 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu Giáo trình ccna - Chương 4: Công nghệ WAN và bảo mật, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Chương 4: Công nghệ WAN và bảo mật
Page | 1
GIÁO TRÌNH CCNA
CHƯƠNG 4: CÔNG NGHỆ
WAN VÀ BẢO MẬT
Chương 4: Công nghệ WAN và bảo mật
Page | 2
CHỦ ĐỀ
PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List .......................... 11
I. Giới thiệu chung ............................................................................... 11
II. Hoạt động của ACL ......................................................................... 11
1. Tìm hiểu về ACL ........................................................................ 12
2. Hoạt động của ACL .................................................................... 15
3. Phân loại ACL ............................................................................ 19
4. Xác định ACL ............................................................................. 19
5. ACL wildcard masking ............................................................... 21
III. Cấu hình ACL .................................................................................. 24
1. Cấu hình numbered standard IPv4 ACL ...................................... 25
2. Cấu hình numbered extended IPv4 ACL ..................................... 26
3. Cấu hình named ACL ................................................................. 28
3.1 Khởi tạo named standard ACL ............................................... 28
3.2 Khởi tạo named extended ACL .............................................. 28
4. Thêm phần ghi chú cho Named hay Numbered ACLs ................ 31
IV. Các lệnh kiểm tra trong ACL ........................................................... 32
V. Các loại khác của ACL .................................................................... 32
1. Dynamic ACL ............................................................................. 33
2. Reflexive ACL ............................................................................ 35
3. Time-based ACL ........................................................................ 37
VI. Ghi chú khi sử dụng Wildcard Masks .............................................. 38
VII. Giải quyết sự cố trong ACL ............................................................. 41
Chương 4: Công nghệ WAN và bảo mật
Page | 3
PART 2: Mở rộng quy mô mạng với NAT và PAT ..................................... 45
I. Giới thiệu về NAT và PAT .............................................................. 45
1. Biên dịch địa chỉ nguồn bên trong ............................................... 48
2. Cơ chế NAT tĩnh ......................................................................... 51
3. Cơ chế NAT động ....................................................................... 52
4. Overloading một địa chỉ toàn cục bên trong ................................ 53
II. Giải quyết vấn đề bảng dịch ............................................................. 56
III. Giải quyết sự cố với NAT ................................................................ 57
PART 3: Giải pháp VPN .............................................................................. 62
I. Giới thiệu về giải pháp VPN ............................................................ 62
1. VPN và những lợi thế ................................................................. 62
2. Các loại VPN .............................................................................. 64
3. IPsec SSL VPN (WebVPN) ........................................................ 69
II. Giới thiệu IPsec ............................................................................... 70
PHẦN 4: Thiết lập kết nối WAN với PPP ................................................... 77
I. Hiểu biết về đóng gói trong WAN ................................................... 77
II. Xác thực PPP ................................................................................... 80
1. Tổng quan về PPP ....................................................................... 80
2. Vùng giao thức của PPP .............................................................. 80
3. Giao thức điều khiển liên kết ...................................................... 81
3.1 Phát hiện liên kết lặp .............................................................. 81
3.2 Tăng cường khả năng phát hiện sự cố .................................... 82
3.3 PPP Multilink ........................................................................ 82
3.4 Xác thực PPP ......................................................................... 83
Chương 4: Công nghệ WAN và bảo mật
Page | 4
III. Cấu hình và kiểm tra PPP ................................................................ 86
IV. Giải quyết sự cố trong xác thực PPP ................................................ 89
1. Giải quyết các vấn đề ở lớp 2 ...................................................... 89
2. Giải quyết các vấn đề ở lớp 3 ...................................................... 92
PART 5: Giới thiệu về công nghệ Frame Relay ........................................... 94
I. Cấu hình chung mạng Frame Relay ................................................. 94
II. Tổng quan về Frame Relay .............................................................. 95
1. Các tiêu chuẩn của Frame Relay ................................................. 98
2. Mạch ảo ...................................................................................... 98
3. LMI và các loại đóng gói .......................................................... 101
III. Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay .............. 104
1. FECN và BECN ........................................................................ 104
2. Các Loại bỏ điều kiện (DE bit) .................................................. 105
IV. Cấu hình và kiểm tra Frame Relay ................................................. 106
1. Kế hoạch cho một cấu hình Frame Relay .................................. 106
2. Một mạng với đầy đủ meshed với một IP Subnet ...................... 108
3. Cấu hình đóng gói và LMI ........................................................ 109
4. Map địa chỉ Frame Relay .......................................................... 113
4.1 Inverse ARP ......................................................................... 113
4.2 Map tĩnh Frame Relay ......................................................... 113
V. Xử lý sự cố với mạng Frame Relay ................................................ 114
PHẦN 6: Tổng quan về IPv6 ...................................................................... 127
I. Khái quát chung ............................................................................. 127
Chương 4: Công nghệ WAN và bảo mật
Page | 5
II. Cách thức viết địa chỉ Ipv6 ............................................................. 127
III. Phương thức gán địa chỉ Ipv6 ......................................................... 130
IV. Cấu trúc địa chỉ IPv6 ...................................................................... 130
1. Địa chỉ Unicast ......................................................................... 131
2. Địa chỉ Anycast ......................................................................... 133
3. Địa chỉ Multicast ....................................................................... 134
V. Gán địa chỉ IPv6 cho cổng giao diện .............................................. 136
1. Cấu hình thủ công cổng giao diện ............................................. 136
2. Gán địa chỉ bằng EUI-64 .......................................................... 136
3. Cấu hình tự động ....................................................................... 137
4. DHCPv6 (Stateful) .................................................................... 138
5. Dùng dạng EUI-64 trong địa chỉ IPv6 ....................................... 138
VI. Xem xét định tuyến với IPv6 ......................................................... 139
VII. Chiến lược để thực hiện IPv6 ......................................................... 139
VIII. Cấu hình IPv6 ................................................................................ 143
PHẦN 7: Các bài lab minh họa .................................................................. 146
1. Cấu hình Standard Access List ................................................. 146
2. Cấu hình extended Access List ................................................. 151
3. Cấu hình NAT tĩnh ................................................................... 156
4. Cấu hình NAT overload ............................................................ 159
5. Cấu hình PPP PAP và CHAP .................................................... 163
6. Cấu hình FRAME RELAY ....................................................... 169
7. Cấu hình FRAME RELAY SUBINTERFACE ......................... 176
Chương 4: Công nghệ WAN và bảo mật
Page | 6
Phụ lục về các hình sử dụng trong tài liệu
PART 1: Quản lý luồng dữ liệu bằng ACL ...................................................... 11
Hình 1-1: Kiểm soát lưu lượng bằng Access Control List ................................. 13
Hình 1-2: Bộ lọc của Access Control List ......................................................... 13
Hình 1-3: ACL xác định luồng dữ liệu .............................................................. 15
Hình 1-4: Ví dụ của một outbound ACL ........................................................... 16
Hình 1-5: Sự đánh giá của ACL ........................................................................ 18
Hình 1-6: Wildcard mask .................................................................................. 22
Hình 1-7: Masking một dãy địa chỉ ................................................................... 23
Hình 1-8: Trường hợp đặc biệt của Wildcard Mask .......................................... 24
Hình 1-9: Standard ACL ................................................................................... 25
Hình 1-10: Extended ACL ................................................................................ 26
Hình 1-11: Dynamic ACL ................................................................................. 33
Hình 1-12: Reflexive ACL ................................................................................ 36
Hình 1-13: Time-based ACL ............................................................................. 37
PART 2: Mở rộng quy mô mạng với NAT và PAT ........................................... 45
Hình 2-1: Network Address Translations .......................................................... 46
Hình 2-2: Port Address Translation ................................................................... 48
Hình 2-3: Biên dịch một địa chỉ với NAT ......................................................... 49
Hình 2-4: NAT tĩnh ........................................................................................... 51
Hình 2-5: NAT động ......................................................................................... 53
Hình 2-6: Overloading một địa chỉ toàn cục bên trong ...................................... 54
Chương 4: Công nghệ WAN và bảo mật
Page | 7
PART 3: Giải pháp VPN ................................................................................... 62
Hình 3-1: Các ví dụ về kết nối VPN .................................................................. 63
Hình 3-2: Kết nối site-to-site VPN .................................................................... 64
Hình 3-3: Minh họa về kết nối remote-access VPN ........................................... 65
Hình 3-4: Cisco Easy VPN ............................................................................... 66
Hình 3-5: WebVPN .......................................................................................... 69
Hình 3-6: Cách thức sử dụng khác nhau của IPsec ............................................ 70
Hình 3-7: Mã hóa dữ liệu .................................................................................. 71
Hình 3-8: Mã hóa key ....................................................................................... 72
Hình 3-9: Thiết lập quá trình mã hóa key .......................................................... 73
Hình 3-10: Xác thực peer .................................................................................. 75
PHẦN 4: Thiết lập kết nối WAN với PPP ........................................................ 77
Hình 4-1: Các lựa chọn cho mạng WAN ........................................................... 78
Hình 4-2: Khung PPP và HDLC ....................................................................... 81
Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP ............................ 83
Hình 4-4: NCP và LCP trong PPP ..................................................................... 83
Hình 4-5: Chứng thực PAP ............................................................................... 85
Hình 4-6: Chứng thực CHAP ............................................................................ 86
PART 5: Giới thiệu về công nghệ Frame Relay ................................................ 94
Hình 5-1: Mạng Frame Relay ............................................................................ 94
Hình 5-2: Các thành phần của mạng Frame Relay ............................................ 96
Chương 4: Công nghệ WAN và bảo mật
Page | 8
Hình 5-3: Khái niệm về Frame Relay PVC ....................................................... 96
Hình 5-4: Mạng Frame Relay thông thường với ba site ..................................... 99
Hình 5-5: Mạng Frame Relay dười dạng partial-mesh .................................... 100
Hình 5-6: LAPF Header .................................................................................. 102
Hình 5-7: Đóng gói Cisco và RFC 1490/2427 .................................................. 103
Hình 5-8: Hoạt động cơ bản của FECN và BECN ........................................... 105
Hình 5-9: Full mesh với nhiều địa chỉ IP ......................................................... 108
Hình 5-10: Tiến trình làm việc của Inverse ARP ............................................. 113
Hình 5-11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 .. 118
Hình 5-12: Kết quả của việc shut down liên kết R2 và R3 .............................. 124
PHẦN 6: Tổng quan về IPv6 ........................................................................... 127
Hình 6-1: Cấu trúc địa chỉ của Link-local ....................................................... 131
Hình 6-2: Cấu trúc địa chỉ của Site-local ......................................................... 131
Hình 6-3: Cấu trúc địa chỉ IPX ........................................................................ 132
Hình 6-4: Cấu trức địa chỉ IPv4 tương thích với IPv6 ..................................... 132
Hình 6-5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 ...................................................... 133
Hình 6-6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu .............................. 133
Hình 6-7: Cấu trúc địa chỉ Anycast ................................................................. 133
Hình 6-8: Cấu trúc địa chỉ đa hướng ............................................................... 134
Hình 6-9: Cấu trúc địa chỉ MAC của LAN ...................................................... 134
Hình 6-10: Tâp hợp các địa chỉ IPv6 ................................................................ 135
Hình 6-11: Tự động cấu hình .......................................................................... 137
Chương 4: Công nghệ WAN và bảo mật
Page | 9
Hình 6-12: Giao diện nhận diện EUI-64........................................................... 138
Hình 6-13: Sự chuyển đổi IPv4 đến IPv6 ........................................................ 140
Hình 6-14: Cisco IOS Dual Stack ................................................................... 141
Hình 6-15: Cấu hình Dual-Stack ..................................................................... 141
Hình 6-16: Các yêu cầu của đường hầm IPv6 .................................................. 142
Hình 6-17: Ví dụ cấu hình RIPng .................................................................... 143
Chương 4: Công nghệ WAN và bảo mật
Page | 10
Phụ lục về các bảng sử dụng trong tài liệu
Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức ....................... 20
Bảng 2: Well-known port number và các giao thức .............................................. 27
Bảng 3: Các tham số cho cấu hình numbered extended ACL ............................... 27
Bảng 4: Các khái niệm về Frame Relay ............................................................... 97
Bảng 5: Các giao thức Frame Relay ..................................................................... 98
Bảng 6: Các loại LMI ........................................................................................ 102
Bảng 7: Các giá trị trạng thái của PVC ............................................................... 122
Chương 4: Công nghệ WAN và bảo mật
Page | 11
PART 1: Quản lý luồng dữ liệu bằng ACL
I - Giới thiệu chung:
Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng
là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy
bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong
những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo
mật là Access Control List (ACL). Đây là một tính năng giúp bạn có thể cấu
hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho
phép hay ngăn cản việc truy cập vào một địa chỉ nào đó.
Access List có 2 loại là Standard Access List và Extended Access List:
Standard Access List: đây là loại danh sách truy cập mà khi cho phép
hay ngăn cản việc truy cập, Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ
nguồn (Source Address).
Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với
loại Standard, các yếu tố về địa chị nguồn (Source Address), địa chỉ đích
(Destination Address), giao thức, port… sẽ được kiểm tra trước khi Router cho
phép việc truy cập hay ngăn cản.
Bạn cũng có thể cấu hình Standard và Extended của Cisco IOS ACL trên
trên các cổng (interfaces) của Router cho việc kiểm soát truy cập để kiểm soát
các loại lưu lượng được phép thông qua. Các tính năng của Cisco IOS được áp
dụng vào các cổng giao diện theo những hướng cụ thể (chiều dữ liệu vào với
chiều dữ liệu đi ra). Phần này sẽ mô tả hoạt động của các loại khác nhau của
ACL và cho bạn thấy làm thế nào để cấu hình IP phiên bản 4 (IPv4) ACL.
II - Hoạt động của ACL:
Tìm hiểu về việc sử dụng danh sách kiểm soát truy cập (ACL) cho phép
bạn xác định làm thế nào để thực hiện chúng trên mạng Cisco của bạn. ACL có
thể cung cấp một tính năng an ninh mạng quan trọng và lọc các gói tin vào và ra
các cổng giao diện của router.
Phần này mô tả một số ứng dụng cho ACL trên các mạng Cisco, xác định
các loại khác nhau của ACL có thể được thực hiện, và giải thích các quy trình
Cisco IOS software thực thi ACL.
Chương 4: Công nghệ WAN và bảo mật
Page | 12
1. Tìm biết về ACL:
Để có thể cấu hình và thực hiện các ACL, bạn cần phải hiểu được năng
lực của chúng được sử dụng. Thiết bị Cisco sử dụng ACL vào hai chức năng
chính: phân loại và lọc. Sau đây giải thích mỗi chức năng:
Phân loại (Classification): Thiết bị định tuyến cũng sử dụng ACL để
xác định luồng dữ liệu truy cập cụ thể. Sau khi một ACL đã xác định và
phân loại luồng truy cập, bạn có thể cấu hình router về cách xử lý các
luồng dữ liệu. Ví dụ, bạn có thể sử dụng một ACL để xác định các mạng
con điều hành (subnet) như là nguồn lưu lượng truy cập (traffic source)
và sau đó cung cấp quyền ưu tiên so với các loại các luồng dữ liệu khác
trên một liên kết WAN tắc nghẽn (congested WAN).
Bộ lọc (Filtering): Khi số lượng các kết nối router kết nối ra ngoài hệ
thống mạng tăng mạnh và sử dụng Internet tăng, kiểm soát truy cập mang
đến những thách thức mới. Quản trị mạng phải đối mặt với tình trạng khó
xử như thế nào để từ chối lưu lượng truy cập không mong muốn trong khi
cho phép truy cập thích hợp. Ví dụ, bạn có thể sử dụng một ACL như một
bộ lọc để giữ lại những việc truy cập các dữ liệu nhạy cảm (sensitive
data) cho khách hàng liên quan đến tài chính.
Qua tính năng phân loại và bộ lọc, ACL đã cung cấp một công cụ rất
mạnh trong Cisco IOS. Xem xét các sơ đồ mạng trong hình 1-1. ACL được sử
dụng, quản trị viên có những công cụ để chặn lưu lượng truy cập từ Internet,
cung cấp truy cập điều khiển để quản lý các thiết bị Cisco IOS, và cung cấp dịch
địa chỉ cho các địa chỉ tư nhân (private addresses) như các mạng 172.16.0.0
Chương 4: Công nghệ WAN và bảo mật
Page | 13
Hình 1-1: Kiểm soát lưu lượng bằng ACL
Lọc là chức năng của ACL mà mọi người dễ dàng nhận biết nhất. ACL
cung cấp một công cụ quan trọng để kiểm soát giao thông trên mạng. Lọc gói
giúp kiểm soát gói tin di chuyển thông qua mạng. Hình 1-2 cho thấy một ví dụ
về ACL lọc dữ liệu theo hướng vào trong và ra ngoài của một giao diện vật lý,
hoặc phiên Telnet của một thiết bị Cisco IOS.
Hình 1-2: Bộ lọc của ACL
Cisco cung cấp ACL để cho phép hoặc từ chối những điều sau đây:
Việc vượt qua của các gói tin đến hoặc từ các cổng của router và lưu
lượng qua các router.
Luồng dữ liệu Telnet truy cập vào hoặc ra khỏi cổng vty router để quản
lý router
Chương 4: Công nghệ WAN và bảo mật
Page | 14
Theo mặc định, tất cả lưu lượng IP được phép vào và ra khỏi tất cả các giao
diện router.
Khi các router loại bỏ gói tin, một số giao thức (protocol) trả về một gói tin đặc
biệt để thông báo cho người gửi là điểm đến không thể kết nối. Đối với các giao
thức IP, ACL có khả năng loại bỏ kết quả trong một "Destination unreachable
(UUU)" phản hồi cho việc ping và một "Administratively prohibited(A *!! A)"
phản hồi của việc traceroute.
IP ACL có thể phân loại và phân biệt các luồng dữ liệu. Phân loại cho phép bạn
chỉ định xử lý đặc biệt cho luồng dữ liệu được xác định trong một ACL, chẳng
hạn như sau:
Xác định các loại hình dữ liệu phải được mã hóa trên một mạng riêng
ảo (VPN) kết nối.
Xác định các tuyến đường (routes) sẽ được phân phối từ các giao thức
định tuyến với nhau.
Sử dụng với bộ lọc cho các tuyến đường để xác định các tuyến đường sẽ
được bao gồm trong các bản cập nhật định tuyến giữa các router.
Sử dụng với chính sách dựa trên định tuyến (policy-based routing) để
xác định các loại hình giao thông được chuyển qua một liên kết được chỉ
định.
Sử dụng với Network Address Translation (NAT) để xác định được địa
chỉ cần dịch.
Sử dụng với tính năng bảo đảm chất lượng dịch vụ (QoS) để xác định
các gói dữ liệu nên được sắp xếp trong một hàng đợi được trong thời gian
tắc nghẽn.
Hình 1-3 cho thấy một số ví dụ về cách sử dụng ACLs để phân loại lưu
lượng truy cập, chẳng hạn như có lưu lượng truy cập để mã hóa trên các VPN,
trong đó tuyến đường sẽ được phân phối lại giữa Open Shortest Path First
(OSPF) và Enhanced Interior Gateway Protocol (EIGRP), và có địa chỉ dịch
bằng cách sử dụng NAT.
Chương 4: Công nghệ WAN và bảo mật
Page | 15
Hình 1-3: ACL xác dịnh luồng dữ liệu
2. Hoạt động của ACL:
ACL thể hiện thông qua một bộ quy tắc (rule) để kiểm soát cho gói dữ
liệu đi vào giao diện, các gói dữ liệu chuyển tiếp thông qua các bộ định tuyến,
và các gói dữ liệu thoát ra bên ngoài của router. ACL không kiểm soát trên các
gói có nguồn gốc xuất phát từ router. Thay vào đó, ACL ra chỉ định các điều
kiện của router làm thế nào xử lý lưu lượng các dữ liệu đi qua các cổng được
chỉ định.
ACL hoạt động theo hai cách:
■ Quản lý chiều vào (Inbound ACL): Các gói dữ liệu gửi đến một cổng
được xử lý trước khi chúng được chuyển đến cổng khác đi ra. Một
inbound ACL có hiệu quả bởi vì nó giúp tiết kiệm các chi phí của việc tra
cứu trong bảng định tuyến nếu gói tin sẽ được bỏ đi sau khi bị từ chối bởi
các kiểm tra của bộ lọc. Nếu gói dữ liệu thõa mãn các điều kiện cho phép
từ bộ lọc, nó sẽ được xử lý bằng bộ định tuyến.
■ Quản lý chiều ra (Outbound ACL): Các gói dữ liệu gửi đến được
chuyển tới giao diện ra bên ngoài và sau đó xử lý thông qua outbound
ACL.
Hình 1-4 cho thấy một ví dụ của một outbound ACL.
Chương 4: Công nghệ WAN và bảo mật
Page | 16
Khi một gói đi vào một giao diện, router kiểm tra bảng định tuyến để xem
nếu gói dữ liệu được định tuyến. Nếu gói tin không phải là định tuyến, nó bị bỏ
rơi (dropped).
Tiếp theo, router sẽ kiểm tra xem liệu các giao diện điểm đến (destination
interface) là nhóm lại với một ACL. Nếu giao diện đích không phải là nhóm lại
với một
Các file đính kèm theo tài liệu này:
- 56511565_giao_trinh_ccna_9034.pdf