trongthanh9285
New Member
Download miễn phí Tìm hiểu Access Control List
Reflexive ACL có thể coi là 1 extended named ACL “mở rộng”, hỗ trợ lọc phiên (session). Reflexive ACL chỉ chứa các bản ghi tạm thời, các bản ghi này được gọi ra khi một phiên kết nối được thiết lập và sẽ tự động xóa đi khi phiên kết nối kết thúc.
Bài toán bảo mật: Có 2 PC nối với nhau thông qua một router, admin muốn PC 1 có thể telnet tới PC 2 nhưng không muốn PC 2 có thể telnet tới PC 1, nếu đặt ACL trên interface của router, admin có thể cho phép PC 1 liên lạc với PC 2 và ngăn chiều ngược lại. Nhưng vấn đề là PC 2 cũng không thể gửi bản tin trả lời lại PC 1. Điều admin cần là router hoạt động như một firewall, từ chối request từ PC 2 nhưng cho phép reply về PC 1.
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
CPU.Cấu hình turbo ACL:
Router(config)#access-list compiled
* * *
Named Access Control List
Có thể là standard ACL hay extended ACL nhưng được đặt tên bằng ký tự (vì thế, trong nhiều trường hợp named ACL giúp admin quản lý danh sách ACL hiệu quả hơn)
Vì thế nên không giới hạn số lượng ACL
Cho phép xóa sửa entry trong ACL, entry mới sẽ đặt ở cuối
Một vài dạng ACL (reflexive ACL) yêu cầu cấu hình với named ACL
Cấu hình named ACL
Router(config)ip access-list [standard / extended] [name]
Router(config-std-nacl)#[permit / deny] …
Trong đó:
[standard / extended] là loại ACLs
[name] là tên đặt cho ACLs
[permit / deny]… là cấu hình entry cho named ACLs: Hoàn toàn Tương tự cấu hình standard / extended ACLs kể từ entry [permit /deny]
* * *
Wild-card Mask
Wildcard Mask là một chuỗi nhị phân 32 bit được chia làm 4 octet. Mỗi một wildcard mask đi k-> m với một địa chỉ IP. Các bit 0 và 1 được định nghĩa để xác định cách xử lý các bit tương ứng trong đia chỉ IP theo quy tắc: 0 kiểm tra – 1 bỏ qua. Nghĩa là bit tương ứng với bit 0 trong wildcard mask sẽ được kiểm tra, còn tương ứng với bit 1 sẽ được bỏ qua không cần kiểm tra.
Phân biệt wildcard mask và subnet mask
wildcard mask và subnet mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng. Subnet mask có chuỗi bit 1 kéo dài từ trái sang phải để xác định phần host và phần Network trong 1 địa chỉ IP tương ứng. Trong khi wildcard mask được dùng để lọc một hay một nhóm địa chỉ IP cụ thể
Trong các bài toán tính wildcard mask, thật sai lầm khi cho rằng để tính wildcard mask ta lấy dải 255.255.255.255 trừ đi tương ứng subnet mask. Tuy nhiên vậy tại sao lại sử dụng wildcard mask trong giao thức định tuyến OSPF (và EIGRP)?
Subnet mask cho phép xác định một dải IP liên tục, trong khi mục đích của wildcard mask là lọc ra một dải IP có tính chất giống nhau (có thể liên tục hay không liên tục), và chỉ ra router cần quan tâm đến những địa chỉ IP nào
i.e Liệu 1.1.1.0/24 và 1.1.1.0 0.0.0.255 có tương đương nhau ko? Chính xác là không, vì 1.1.1.0 0.0.0.255 bao gồm 1.1.1.0/24; 1.1.1.0/25; 1.1.1.0/26…đến 1.1.1.0/32
Đối với giao thức định tuyến Link State như OSPF (hay EIGRP) với cơ chế trigger update wildcard mask hiệu quả hơn subnet mask, điều này mang đến 2 cái lợi: giảm tốc độ xử lý CPU router và giảm dung lượng file cấu hình:
i.e Trên router cần quảng bá OSPF trên 2 interface:
S0/0: 192.168.0.1/24
S0/1: 192.168.1.1/24
Thay vì 2 dòng lệnh nếu sử dụng subnet mask, admin có thể cấu hình với wildcard mask:
Router(config-router)#net 192.168.0.0 0.0.1.255 area 0
Quá trình kiểm tra wildcard mask:
Trong quá trình lọc ACL, địa chỉ IP trong mỗi statement được kết hợp với wildcard mask để tính ra một giá trị chuẩn: giá trị chuẩn đó có thể là một địa chỉ host, 1 subnet, 1 khoảng địa chỉ IP(liên tục hay không liên tục) hay là tất cả các địa chỉ IP. Gói tin khi tới interface đặt ACL sẽ được kiểm tra địa chỉ IP, địa chỉ IP này được so sánh với giá trị chuẩn ở trên: Nếu 2 giá trị này giống nhau thì điều kiện đã thỏa mãn và router thực hiện các lệnh trên ACL.
Các bài toán tính wildcard mask:
1. Wildcard mask match 1 host
I.e: Tính wildcard mask match host 192.168.1.1
Theo nguyên tắc: bit 0 kiểm tra – bit 1 bỏ qua
-> IP Address: 192.168.1.1 0.0.0.0 hay từ khóa “host”
2. Wildcard mask match tất cả địa chỉ IP
I.e: Tính wildcard mask match tất cả địa chỉ IP
Theo nguyên tắc: bit 0 kiểm tra – bit 1 bỏ qua
-> IP Address: 192.168.1.1 255.255.255.255 hay từ khóa “any”
3. Wildcard mask match 1 subnet
i.e: Tính wildcard mask match subnet 192.168.1.0/24
Cách tính: Lấy 255.255.255.255 trừ đi subnet mask của subnet
-> IP Address: 192.168.1.1 0.0.0.255
4. Tính Wildcard mask match range địa chỉ IP liên tục
i.e: Tính wildcard mask match range từ 192.168.2.0 đến 192.168.4.255
Cách tính: Lấy địa chỉ cuối trừ địa chỉ đầu
-> IP Address: 192.168.2.0 0.0.2.255
5. Tính widcard mask match 1 số IP add đầu tiên
i.e: Cho địa chỉ IP 192.168.1.0, tính wildcard mask match X host đầu tiên
-> Dải địa chỉ cần match: 192.168.1.0 - > 192.168.1.X
-> wildcard mask: 0.0.0.X (lấy địa chỉ cuối trừ địa chỉ đầu)
-> IP Address: 192.168.1.0 0.0.0.X
6. Tính wildcard mask của nửa trên (upper half) hay nửa dưới (lower half) 1 dải mạng:
I.e: Cho địa chỉ IP 192.168.1.0, tính wildcard mask match nửa dải IP phía trên và dưới:
-> Dải địa chỉ nửa trên: 192.168.1.0 - > 192.168.1.127
-> wildcard mask: 0.0.0.127 (lấy địa chỉ cuối trừ địa chỉ đầu)
-> Địa chỉ IP: 192.168.1.0 0.0.0.127
-> Dải địa chỉ nửa dưới: 192.168.1.128 - > 192.168.1.255
-> wildcard mask: 0.0.0.127 (lấy địa chỉ cuối trừ địa chỉ đầu)
-> Địa chỉ IP: 192.168.1.128 0.0.0.127
7. Tính wildcard mask match IP lẻ, hay IP chẵn
1 địa chỉ Ip lẻ / chẳn là địa chỉ có octet cuối cùng dạng thập phân là số lẻ / chẳn
I.e: IP lẻ - 192.168.1.1
IP chẵn – 192.168.1.2
Nhận xét: bit cuối cùng của IP lẻ luôn là bit 1, bit cuối cùng của IP chẵn luôn là bit 0. Vậy wildcard mask thỏa mãn phải tạo ra một dải địa chỉ IP có bit cuối của octet cuối không đổi bằng 0 hay 1.
Giải pháp: để router luôn match bit cuối của octet cuối của địa chỉ IP, bit tương ứng trên wildcard mask phải là bit 0
-> I.e1: Cho địa chỉ IP: 192.168.1.0, tính wildcard mask match tất cả IP chẵn:
-> wildcard mask: 0.0.0.254 (dạng nhị phân: 00000000.00000000.00000000.11111110)
-> Địa chỉ IP: 192.168.1.0 0.0.0.254 (IP chẵn có bit cuối luôn bằng 0)
-> I.e2: Cho địa chỉ IP: 192.168.1.0, tính wildcard mask match tất cả IP lẻ
-> wildcard mask: 0.0.0.254 (dạng nhị phân: 00000000.00000000.00000000.11111110)
-> Địa chỉ IP: 192.168.1.1 0.0.0.254 (IP lẻ có bit cuối luôn bằng 1)
8. Tính wildcard mask match 1 range IP address không liên tục
Đây là dạng toán tính wildcard mask phức tạp nhất vì admin không có cách nào sử dụng 1 wildcard mask để tạo thành địa chỉ IP match tất cả dải IP ban đầu:
I.e: Tính wildcard mask match dải: 192.168.1.15 - > 192.168.1.75
Nhận xét: Đây là một dải IP không liên tục , không có 1 wildcard mask nào có thể thỏa mãn dải không liên tục. Tuy nhiên đối với những dải IP liên tục thì luôn có wildcard mask thỏa mãn.
Giải pháp: Chia dải IP ban đầu thành những dải nhỏ mà trong đó luôn tìm được 1 wildcard mask thỏa mãn mỗi dải. Vậy cách chia như thế nào? Nhắc lại: mỗi bit trong octet phần host thay mặt cho một nhóm các host gọi là một block size. Bit cuối cùng là block size 1 vì nó thể hiện 1 host, tương tự bit đầu tiên là block size 128. Và, mỗi block size luôn tìm được 1 wildcard mask thỏa mãn.
Chia dải thành các block size:
- 192.168.1.15 (1)
- 192.168.1.16 - > 192.168.1.31 (2)
- 192.168.1.32 - > 192.168.1.63 (3)
- 192.168.1.64 -> 192.168.75 (4)
Tính wildcard mask cho mỗi block size:
- (1): 192.168.1.15 0.0.0.0 - > IP host
- (2): 192.168.1.16 0.0.0.15
- (3): 192.168.1.32 0.0.0.31
- (4): Chưa có wildcard mask phù hợp, ta phân tích dạng nhị phân octet cuối để tách tiếp wildcard mask:
.64: 01000000
.75: 01001011
-> Ta tách thành: 0100000...