MỤC LỤC
PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO............................................... 2
PHẦN 2. NGUYÊN TẮC ĐỊNH TUYẾN...................................................................... 7
PHẦN 3. REMOVING PROTOCOL VÀ SERVICES.............................................. 16
PHẦN 4: ACCESS CONTROL LISTS (ACL)........................................................... 19
PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING.................................................. 27
PHẦN 6. CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS)........ 34
PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO
1. An ninh Mạng là gì?
Có những lúc, ví dụ như khi bạn rời văn phòng về nhà khi kết thúc ngày làm việc, bạn sẽ bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng và thiết bị. Dường như bạn cũng sẽ có một ngăn chứa an toàn hoặc khóa tủ lưu trữ các tài liệu kinh doanh mật.
Mạng máy tính của bạn cũng đỏi hỏi cùng một mức độ bảo vệ như vậy.
Các công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. Nếu không có An ninh Mạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa.
2. An ninh hoạt động như thế nào
An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau. Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu của bạn trước đa dạng các loại tấn công mạng.
Các thông tin an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn công. Cụ thể, An ninh Mạng là:
- Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài . Các tấn công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của doanh nghiệp của bạn. Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện những phản ứng thích hợp.
- Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc nào .Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo vệ.
- Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ thống của họ .Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về truy cập dữ liệu. Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người dùng, chức năng công việc hoặc các tiêu chí kinh doanh cụ thể khác.
- Giúp bạn trở nên tin cậy hơn .Bởi vì các công nghệ an ninh cho phép hệ thống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn.
An ninh Mạng đã trở thành một yêu cầu đối với doanh nghiệp, đặc biệt là những doanh nghiệp hoạt động trên mạng Internet. Khách hàng, nhà cung cấp và đối tác kinh doanh của bạn kỳ vọng vào bạn để bảo vệ bất kỳ thông tin nào mà họ chia sẻ với bạn.
Trong khi An ninh Mạng đã gần như trở thành một yêu cầu tiên quyết để vận hành một doanh nghiệp, nó cũng mang lại lợi ích theo nhiều cách khác nhau. Dưới đây là những lợi ích mà các doanh nghiệp thu được từ một mạng được bảo vệ an toàn:
a. Lòng tin của khách hàng
- Tính riêng tư được đảm bảo
- Cộng tác được khuyến khích
Một hệ thống an ninh mạng đảm bảo với khách hàng rằng những thông tin nhạy cảm như là số thẻ tín dụng hoặc các chi tiết kinh doanh bí mật sẽ không bị truy cập và khai thác trái phép. Các đối tác kinh doanh của bạn sẽ cảm thấy tự tin hơn khi chia sẻ dữ liệu như là dự báo doanh thu hoặc lên kế hoạch sản phẩm trước khi phát hành. Ngoài ra, các công nghệ đó vừa ngăn chặn xâm nhập trái phép vừa cung cấp cho các đối tác của bạn truy cập an toàn đến thông tin trên mạng của bạn, giúp bạn cộng tác và làm việc cùng nhau một cách hiệu quả hơn.
b. Di động
- Bảo vệ truy cập di động
- Nâng cao năng suất khi đang ở ngoài văn phòng
Giải pháp An ninh Mạng mạnh mẽ cho phép nhân viên của bạn truy cập an toàn trên đường đi hoặc từ nhà riêng mà không làm lây lan vi rút hoặc các dạng tấn công khác. Truy cập mạng an toàn, thuận tiện có nghĩa là nhân viên có thể sử dụng thông tin quan trọng khi họ cần, giúp họ trở nên có năng suất cao hơn ngay cả khi họ không ngồi trước bàn làm việc.
c. Năng suất cao hơn
- Ít lãng phí thời gian do spam hơn
- Đạo đức và cộng tác tốt hơn giữa các nhân viên
Một hệ thống An ninh Mạng hiệu quả có thể nâng cao năng suất trên phạm vi toàn bộ tổ chức của bạn. Nhân viên mất ít thời gian hơn vào những công việc không có năng suất như là chống spam và diệt vi rút. Mạng và kết nối Internet của bạn luôn được an toàn, đảm bảo rằng bạn và nhân viên của mình có truy cập thường xuyên đến Internet và e-mail.
d. Giảm chi phí
- Tránh được gián đoạn dịch vụ
- Các dịch vụ tiên tiến được phát triển an toàn
Sự gián đoạn hoạt động của mạng gây thiệt hại lớn đối với mọi thể loại doanh nghiệp. Bằng cách đảm bảo rằng mạng và kết nối Internet của bạn là an toàn và hoạt động liên tục, bạn có thể đảm bảo rằng khách hàng có thể tiếp cận bạn khi họ cần đến bạn. An ninh hiệu quả cho phép doanh nghiệp của bạn bổ sung các dịch vụ và ứng dụng mới mà không làm ảnh hưởng đến hiệu năng mạng. Sử dụng một khuynh hướng chủ động để bảo vệ dữ liệu của bạn sẽ đảm bảo rằng doanh nghiệp của bạn sẽ tồn tại và hoạt động theo yêu cầu.
Khi công ty của bạn tăng trưởng, nhu cầu về mạng cũng thay đổi. Việc thiết lập một mạng an toàn, mạnh mẽ ngay từ hôm nay sẽ cho phép công ty bạn bổ sung những chức năng tiên tiến như là kết nối mạng không dây an toàn hoặc thoại và hội nghị.
Tùy theo nhu cầu của doanh nghiệp bạn với những công nghệ an ninh thích hợp là bước đầu tiên để bắt đầu một dự án an ninh mạng.
Sử dụng danh sách những cân nhắc dưới đây để giúp bạn bắt đầu:
a. Cấp độ an ninh hiện tại của bạn
Khám phá về những tính năng an ninh mà mạng của bạn đã có. Danh sách này sẽ giúp xác định những thiếu hụt trong các phương pháp bảo vệ hiện tại của bạn.
- Mạng hiện tại có cung cấp tường lửa, mạng riêng ảo, ngăn chặn xâm nhập, chống vi rút, một mạng không dây an toàn, phát hiện bất thường và quản lý danh tính cũng như phê duyệt tuân thủ hay không?
- Những tính năng này có giao tiếp với nhau không?
b. Các tài sản của bạn
Xây dựng một danh mục về các tài sản của bạn để xác định xem sẽ cần bao nhiêu cấp độ, lớp bảo vệ mà hệ thống của bạn cần có.
- Bên trong doanh nghiệp cụ thể của bạn, những tài sản nào có vai trò quan trọng nhất đối với sự thành công?
- Có phải việc bảo vệ thông tin nội bộ của bạn là quan trọng nhất không; hay là việc bảo vệ thông tin khách hàng của bạn là quan trọng nhất; hay là cả hai?
- Giá trị của những tài sản này lớn đến đâu?
- Những tài sản này nằm ở đâu trong doanh nghiệp của bạn?
c. Truyền tải thông tin
Đánh giá xem thông tin đang được chia sẻ như thế nào ở bên trong và bên ngoài công ty của bạn.
- Nhân viên của bạn có cần truy cập nhanh đến thông tin nội bộ để thực hiện công việc của họ không?
- Bạn có chia sẻ dữ liệu bên ngoài bốn bức tường của doanh nghiệp không?
- Bạn kiểm soát việc ai có thể truy cập đến thông tin này như thế nào?
- Bạn có cung cấp những cấp độ khác nhau về truy cập cho những người dùng mạng khác nhau không?
d. Các kế hoạch phát triển
Công ty bạn có đang lập kế hoạch bổ sung thêm các tính năng tiên tiến vào hệ thống của mình không? Hệ thống của bạn cần phải thích ứng và linh động đến đâu? Giải pháp an ninh của bạn cần phải có thể hỗ trợ được sự gia tăng lưu lượng mạng hoặc các ứng dụng tiên tiến mà không làm gián đoạn dịch vụ.
e. Đánh giá rủi ro
Xác định xem những hậu quả của một vụ tấn công an ninh có vượt khỏi phạm vi về tổn thất năng suất và gián đoạn dịch vụ không.
- Môi trường kinh doanh của bạn bị điều chỉnh về mặt pháp lý đến mức độ nào?
- Rủi ro của việc không tuân thủ quy định là gì?
- Doanh nghiệp của bạn có thể chấp nhận được mức độ gián đoạn thời gian hoạt động đến mức độ nào trước khi tổn thất về tài chính hoặc uy tín xảy ra?
f. Dễ sử dụng
Một công nghệ an ninh tốt nhất cũng sẽ không mang lại cho bạn lợi ích nào cả nếu nó không được lắp đặt và sử dụng dễ dàng. Hãy đảm bảo là bạn có các tài nguyên để quản lý hệ thống mà bạn đã lắp đặt.
1. Khái Niệm ROUTING
Định tuyến là quá trình router sử dụng để chuyển tiếp các packet đến mạng đích. Router đưa ra quyết định dựa trên địa chỉ IP đích của packet. Để có thể đưa ra được quyết định chính xác, router phải học cách làm sao để đi đến các mạng ở xa. Khi router sử dụng quá trình định tuyến động, thông tin này sẽ được học từ những router khác. Khi quá trình định tuyến tĩnh được sử dụng, nhà quản trị mạng sẽ cấu hình thông tin về những mạng ở xa bằng tay cho router.
Bởi vì các tuyến đường tĩnh được cấu hình bằng tay, nhà quản trị phải thêm và xóa các tuyến đường tĩnh để phản ánh sự thay đổi của đồ hình mạng. Quá trình định tuyến tĩnh có nhược điểm là không có khả năng mở rộng như định tuyến động bởi vì nó đòi hỏi nhiều công sức của nhà quản trị.
2. Nguyên tắc định tuyến
Các giao thức định tuyến phi đạt được các yêu cầu đồng thời sau:
· Khám phá động một topo mạng.
· Xây dựng các đường ngắn nhất.
· Kiểm soát tóm tắt thông tin về các mạng bên ngoài, có thể sử dụng các metric khác nhau trong mạng cục bộ.
· Phản ứng nhanh với sự thay đổi topo mạng và cập nhật các cây đường ngắn nhất.
· Làm tất cả các điều trên theo định kỳ thời gian.
3. Các Phương Thức Định Tuyến:
A. STATIC ROUTING
· Các bước để cấu hình định tuyến tĩnh:
· Nhà quản trị cấu hình con đường tĩnh.
· Router sẽ đưa con đường vào trong bảng định tuyến.
· Con đường định tuyến tĩnh sẽ được đưa vào sử dụng.
Cú pháp câu lệnh:
Router(config)#ip route {destination network} {subnet mask} {nexthop ip address | outgoing interface} <administrative distance>
Administrative distance (AD) là một tham số tùy chọn, chỉ ra độ tin cậy của một con đường. Con đường có giá trị càng thấp thì càng được tin cậy. Giá trị AD mặc định của tuyến đường tĩnh là 1.
DEFAULT ROUTE
Cú pháp:
Router(config)#ip route 0.0.0.0 0.0.0.0 {nexthop ip address | outgoing interface}
Default route được sử dụng để gởi các packet đến các mạng đích mà không có trong bảng định tuyến. Thường được sử dụng trên các mạng ở dạng stub network (mạng chỉ có một con đường để đi ra bên ngoài)
KIỂM TRA CẤU HÌNH
Router#show running-config
Router#show ip route
B. DYNAMIC ROUTING
Routing Protocol (giao thức định tuyến) Ngôn ngữ giao tiếp giữa các router. Một giao thức định tuyến cho phép các router chia sẻ thông tin về các network. Router sử dụng các thông tin này để xây dựng và duy trì bảng định tuyến của mình.
Các loại giao thức định tuyến:
Distance Vector: RIP, IGRP. Hoạt động theo nguyên tắt "hàng xóm", nghĩa là mỗi router sẻ gửi bảng routing-table của chính mình cho tất cả các router được nối trực tiếp với mình. Các router đó sau đo so sánh với bản routing-table mà mình hiện có và kiểm xem route của mình và route mới nhận được, route nào tốt hơn sẻ được cập nhất. Các routing-update sẻ được gởi theo định kỳ (30 giây với RIP , 60 giây đối với RIP-novell, 90 giây đối với IGRP). Do đó, khi có sự thay đổi trong mạng, các router sẻ biết được khúc mạng nào down liền.
Ưu điểm:
· Dễ cấu hình, router không tốn nhiều tài nguyên để xử lí thông tin định tuyến
Nhược điểm:
· Hệ thống metric quá đơn giản (như rip chỉ là hop-count) nên có thể xảy ra việc chọn đường đi tốt nhất (best route) không hoàn toàn chính xác.
· Do phải cập nhật định kỳ các routing-table, nên một lượng bandwidth đáng kể sẽ bị lãng phí, throughput giảm đi mặc dù mạng không có thay đổi.
· Các Router hội tụ chậm, sẻ dẫn đến việc sai lệch trong bảng route, thiếu ổn định (route flaping), Routing LOOP.
Link-state: Linkstate không gởi routing-update, mà chỉ gởi tình trạng [state] của các cái link trong linkstate-database của mình đi cho các router khác, để rồi tự mỗi router sẽ chạy giải thuật shortest path first (giao thức OSPF - open shortest path first), tự xây dựng bảng routing-table cho mình. Sau đó khi mạng đả hội tụ, link-state protocol sẻ không gởi update định kỳ như Distance-vector, mà chỉ gởi khi nào có một sự thay đổi trong topology mạng (1 line bị down, cần sử dụng đường back-up)
Ưu điểm:
· Scalable: có thể thích nghi được với đa số hệ thống, cho phép người thiết kế có thễ thiết kế mạng linh hoạt, phản ứng nhanh với thay đổi sảy ra.
· Do không gởi interval-update, nên link state bảo đảm được băng thông cho các đưởng mạng .
Khuyết điểm:
· Do router phải sử lý nhiều, nên chiếm nhiều tài nguyên, giảm performance .
· Một khuyết điểm nửa là: linkstate khá khó cấu hình để chạy tốt , những người làm việc có kinh nghiệm lâu thì mới cấu hình tốt được, do đó các kỳ thi cao cấp của Cisco chú trọng khá kỷ đến linkstate
Một số giao thức định tuyến:
· Routing Information Protocol (RIP)
· Interior Gateway Routing Protocol (IGRP)
· Enhanced Interior Gateway Routing Protocol (EIGRP)
· Open Shortest Path First (OSPF)
a. RIP
Giao thức định tuyến Distance Vector
Sử dụng hop-count làm metric. Maximum hop-count là 15
Administrative distance là 120
Hoạt động theo kiểu tin đồn
Gởi update định kỳ sau 30 giây. Thông tin gởi đi là toàn bộ bảng định tuyến
RIP v1 và RIP v2
RIP v1: classful (không gửi subnetmask)
RIPv2: classless, hỗ trợ VLSM(có kèm theo subnetmask), authentication
Sử dụng hop-count làm metric. Maximum hop-count là 15
Administrative distance là 120
Hoạt động theo kiểu tin đồn
Gởi update định kỳ sau 30 giây. Thông tin gởi đi là toàn bộ bảng định tuyến
RIP v1 và RIP v2
RIP v1: classful (không gửi subnetmask)
RIPv2: classless, hỗ trợ VLSM(có kèm theo subnetmask), authentication
Cấu hình
Kích hoạt giao thức định tuyến RIP trên router bằng câu lệnh:
Router(config)#router rip
Router(config)#router rip
Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép gởi và nhận RIP update bằng câu lệnh:
Router(config-router)#network
Router(config-router)#network
Kiểm tra hoạt động
Show ip protocol
Show ip route
Debug ip rip để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router.
No debug ip rip hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface
Show ip route
Debug ip rip để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router.
No debug ip rip hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface
b. IGRP
Giao thức định tuyến Distance Vector
Sử dụng kết hợp giữa băng thông (bandwidth) và độ trễ (delay) làm metric
Administrative distance là 100
Hoạt động theo kiểu tin đồn
Gởi update định kỳ sau 90 giây. Thông tin gởi đi là toàn bộ bảng định tuyến
classful (không gửi subnetmask)
Là giao thức riêng của Cisco
Sử dụng kết hợp giữa băng thông (bandwidth) và độ trễ (delay) làm metric
Administrative distance là 100
Hoạt động theo kiểu tin đồn
Gởi update định kỳ sau 90 giây. Thông tin gởi đi là toàn bộ bảng định tuyến
classful (không gửi subnetmask)
Là giao thức riêng của Cisco
Cấu hình
Kích hoạt giao thức định tuyến RIP trên router bằng câu lệnh:
Router(config)#router igrp
Router(config)#router igrp
Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép gởi và nhận IGRP update bằng câu lệnh:
Router(config-router)#network
Router(config-router)#network
(*) AS (Autonomous System): là một mạng được quản trị chung với các chính sách định tuyến chung. Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ thông tin tìm đường với nhau.
Kiểm tra hoạt động
Show ip protocol
Show ip route
Debug ip igrp events để xem các cập nhật của IGRP được gửi và nhận trên router.
No debug ip igrp events hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface
Debug ip igrp transactions để xem các sự IGRP events được xử lý trên router.
Show ip route
Debug ip igrp events để xem các cập nhật của IGRP được gửi và nhận trên router.
No debug ip igrp events hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface
Debug ip igrp transactions để xem các sự IGRP events được xử lý trên router.
c. EIGRP
Giao thức độc quyền của Cisco.
Giao thức định tuyến classless (gởi kèm thông tin về subnet mask trong các update).
Giao thức distance-vector.
Chỉ gởi update khi có sự thay đổi trên mạng.
Hỗ trợ các giao thức IP, IPX và AppleTalk.
Hỗ trợ VLSM/CIDR.
Cho phép thực hiện quá trình summarization tại biên mạng.
Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL.
Xây dựng và duy trì các bảng neighbor table, topology table và routing table.
Metric được tính dựa trên các yếu tố: bandwidth, delay, load, reliability.
Cho phép cân bằng tải trên các con đường có giá thành không bằng nhau (unequal-cost).
Giá trị AD bằng 90.
Khắc phục được vấn đề mạng không liên tục gặp phải đối với các giao thức RIPv1 và IGRP.
Giao thức định tuyến classless (gởi kèm thông tin về subnet mask trong các update).
Giao thức distance-vector.
Chỉ gởi update khi có sự thay đổi trên mạng.
Hỗ trợ các giao thức IP, IPX và AppleTalk.
Hỗ trợ VLSM/CIDR.
Cho phép thực hiện quá trình summarization tại biên mạng.
Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL.
Xây dựng và duy trì các bảng neighbor table, topology table và routing table.
Metric được tính dựa trên các yếu tố: bandwidth, delay, load, reliability.
Cho phép cân bằng tải trên các con đường có giá thành không bằng nhau (unequal-cost).
Giá trị AD bằng 90.
Khắc phục được vấn đề mạng không liên tục gặp phải đối với các giao thức RIPv1 và IGRP.
Cấu hình
Kích hoạt giao thức định tuyến EIGRP:
Router(config)# router eigrp
Router(config)# router eigrp
Kích hoạt các interface sẽ gởi và nhận update, cũng như khai báo các network cần quảng bá:
Router(config-router)# network
Router(config-router)# network
Tắt chức năng auto-summary tại biên mạng:
Router(config-router)# no auto-summary
Router(config-router)# no auto-summary
Các câu lệnh để troubleshoot: show ip route, show ip route eigrp, show ip eigrp neighbors, show ip eigrp topology.
d. OSPF
Chuẩn mở.
Giao thức link-state.
Chỉ hỗ trợ giao thức IP.
Gom nhóm các network và router vào trong từng area. Luôn tồn tại area 0 (backbone area). Tất cả các area khác (nếu có) đều phải nối vào area 0.
Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến các đích.
Cho phép cân bằng tải trên các con đường bằng có giá thành bằng nhau (equal-cost).
Hỗ trợ VLSM/CIDR.
Chỉ gởi update khi có sự thay đổi trên mạng.
Khắc phục vấn đề liên quan đến discontiguous network.
Xây dựng và duy trì các neighbor database, topology database.
Giá trị AD bằng 110.
Giao thức link-state.
Chỉ hỗ trợ giao thức IP.
Gom nhóm các network và router vào trong từng area. Luôn tồn tại area 0 (backbone area). Tất cả các area khác (nếu có) đều phải nối vào area 0.
Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến các đích.
Cho phép cân bằng tải trên các con đường bằng có giá thành bằng nhau (equal-cost).
Hỗ trợ VLSM/CIDR.
Chỉ gởi update khi có sự thay đổi trên mạng.
Khắc phục vấn đề liên quan đến discontiguous network.
Xây dựng và duy trì các neighbor database, topology database.
Giá trị AD bằng 110.
Cấu hình
Kích hoạt giao thức định tuyến OSPF
Router(config)#router ospf <process ID>
Router(config)#router ospf <process ID>
Cấu hình OSPF area
Router(config-router)#network <network number><wildcard mask> area <area ID>
Router(config-router)#network <network number><wildcard mask> area <area ID>
Các câu lệnh troubleshoot: show ip route, show ip ospf, show ip ospf database, show ip ospf interface, show ip ospf neighbor.
PHẦN 3. REMOVING PROTOCOL VÀ SERVICES
Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo protocol và service port:
Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source address] [destination address] {service port|eq service}
Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source address] [destination address] {service port|eq service}
access-list-number: Với Extended Access list, chỉ số này nằm trong khoảng 100-199, 2000-2069 .
Protocol:
· 0 – 255 IP protocol number (tham khảo tại http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml) hoặc các protocol phổ biến sau:
· Ahp Authentication Header Protocol
· Eigrp Cisco's EIGRP routing protocol
· Esp Encapsulation Security Payload
· Gre Cisco's GRE tunneling
· Icmp Internet Control Message Protocol
· Igmp Internet Gateway Message Protocol
· Ip Any Internet Protocol
· Ipinip IP in IP tunneling
· Nos KA9Q NOS compatible IP over IP tunneling
· ospf OSPF routing protocol
· pcp Payload Compression Protocol
· pim Protocol Independent Multicast
· tcp Transmission Control Protocol
· udp User Datagram Protocol
Services và port number tương ứng:
· Well-known ports: 0–1023
ü Tham khảo đầy đủ tại
http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:
http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:
ü 21: File Transfer Protocol (FTP)
ü 22: Secure Shell (SSH)
ü 23: Telnet remote login service
ü 25: Simple Mail Transfer Protocol (SMTP)
ü 53: Domain Name System service
ü 80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web
ü 110: Post Office Protocol (POP)
ü 119: Network News Transfer Protocol (NNTP)
ü 161: Simple Network Management Protocol (SNMP)
ü 443: HTTPs with Transport Layer Security or Secure Sockets Layer
· Registered ports: 1024–49151
ü Tham khảo đầy đủ tại
http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:
http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:
ü 1080 TCP SOCKS proxy
ü 1167 UDP phone, conference calling
ü 1194 TCP UDP OpenVPN
ü 1220 TCP QuickTime Streaming Server administration
ü 1234 UDP VLC media player Default port for UDP/RTP stream
ü 1293 TCP UDP IPSec (Internet Protocol Security)
ü 1352 TCP IBM Lotus Notes/Domino[36] (RPC) protocol
ü 1470 TCP Solarwinds Kiwi Log Server
ü 1503 TCP UDP Windows Live Messenger (Whiteboard and Application Sharing)
ü 1512 TCP UDP Microsoft Windows Internet Name Service (WINS)
ü 1513 TCP UDP Garena Garena Gaming Client
Dynamic, private or ephemeral ports: 49152–65535 Gồm các port được sử dụng mà không cần đăng kí với IANA, sử dụng trong các dịch vụ chạy trong mạng nội bộ, hoặc các dịch vụ phát triển riêng.
PHẦN 4: ACCESS CONTROL LISTS (ACL)
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.
- Quản lý các IP traffic
- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router
• Chức năng:
+Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing)
+ Thuận tiện cho việc lọc gói tin ip
+ Cung cấp tính sẵn sàng mạng cao
Có 2 loại Access lists là: Standard Access lists và Extended Access lists
Standard ACLs: Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng nên được đặt gần đích (Destination).
Extended ACLs: Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header”. Nên đặt gần nguồn (source).
Complex ACLs: Ngoài ra còn có thêm các ACLs khác như: Dynamic ACLs, Reflexive ACLs, Time-base ACLs.
ü Dynamic ACLs:
· Lock and key cho phép lọc các ip tracffic động.
· Dùng ACLs extended trong việc tạo ra các ACLs bảo mật hơn
· Sử dụng khi có host từ xa muốn truy cập đến localhost
ü Reflexive ACLs:
· Ngăn chặn những traffic lạ từ ngoài vào trong localhost
· Những tracffic từ trong ra ngoài thì được cho phép từ ngoài đi vào trong
ü Time-base ACLs
· Quản lý ACLs theo thời gian mà người quản trị qui định trước
Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface). Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao (transmission).
Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue).
- ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit.
• Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách.
• Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích.
• Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó.
· Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface. Một interface có thể có nhiều ACL.
· Router không thể lọc traffic mà bắt đầu từ chính nó.
· Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách, nó sẽ đặt cuối danh sách.
· Standard ACLs: Nên đặt gần đích của traffic.
· Extended ACLs: Nên đặt gần nguồn của traffic.
· Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều “OUT”
6. Thuật toán hoạt động
Hình ảnh mô tả hoạt động của ACLs:
Cổng vào dữ liệu được gọi là Incoming, cồng ra là Outcomming, trước tiên nó sẽ dò bảng định tuyến, nếu đã đúng thì tiếp điến là kiểm tra ACLs, nếu đúng thì đi tiếp, ngược lại sẽ bi huỷ bỏ.
ACLs hoạt động theo thứ tự và thực hiện câu lệnh đầu tiên nếu nó matched.
Hình trên cho ta thấy ACLs kiểm tra các danh sách truy cập như thế nào.
Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999.
Có 2 bước để tạo ACLs:
B1: Định nghĩa danh sách ACLs để đặt vào interface.
router(config)#access-list [ACL number] [permit|deny] [source address] [wildcard mask] [log]
router(config)#access-list [ACL number] [permit|deny] [source address] [wildcard mask] [log]
Hoặc là :
router(config)#access-list [ACL number] [permit|deny] [host|any] [source address]
B2: Sau đó đặt danh sách(ACLs) vào interface trên router mà ta muốn chặn gói tin ngay tại đó.
router(config)#interface [interface-number]
router(config-if)#ip access-group [ACL number] [in out]
router(config)#interface [interface-number]
router(config-if)#ip access-group [ACL number] [in out]
Vì standard access-list chỉ kiểm tra được địa chỉ nguồn nên phải áp access-list vào cổng gần đích nhất.
Cũng giống standard ACL và thêm một số cách lọc gói tin như:
Source and destination IP address (Địa chỉ nguồn địa chỉ đích)
IP protocol – TCP, UDP, ICMP (cấm giao thức)
Port information (WWW, DNS, FTP, TELNET,…) ( cấm các dịch vụ thông qua các cổng hoạt động của nó)
Source and destination IP address (Địa chỉ nguồn địa chỉ đích)
IP protocol – TCP, UDP, ICMP (cấm giao thức)
Port information (WWW, DNS, FTP, TELNET,…) ( cấm các dịch vụ thông qua các cổng hoạt động của nó)
Các lệnh cấu hình:
Ta cũng thực hiện 2 bước giống như Standard ACLs
B1: Tạo accesslist tại global config mode:
router(config)#access-list [#] [permit deny] [protocol] [source address] [wildcard mask] [operator source port] [destination address] [wildcard mask] [operator destination port] [log]
Hoặc
router(config)#access-list [#] [permit deny] [protocol] [host] [source address] [host] [destination address][ lt, gt, neq, eq, range] [port number]
B2: Áp access-list vào cổng.
router(config)#interface [interface-number]
router(config-if)#ip access-group [#] [in out] - interface access control
router(config)#interface [interface-number]
router(config-if)#ip access-group [#] [in out] - interface access control
Một số port thông dụng:
21 FTP
23 TELNET
25 SMTP
53 DNS
69 TFTP
80 WWW
161 SNMP
520 RIP
21 FTP
23 TELNET
25 SMTP
53 DNS
69 TFTP
80 WWW
161 SNMP
520 RIP
3. Complex ACLs
a- Dynamic ACLs:
Các bước cấu hình:
B 1: Tạo một tài khoản người dùng local trên router
B 2: Tạo một Extended ACLs cho phép tất cả các host được telnet đến host 10.2.2.2. Khi telnet thành công sẽ cho phép đường mạng 192.168.10.0 đi qua đường mạng 192.168.30.0 với thời gian timeout 15 phút (absolute time)(ALCs động sẽ sinh ra khi lệnh access-enable được bật lên và sẽ mất đi sau 15 phút bất chấp user có sử dụng nó hay ko)
B 3: Gán ACLs cho interface chỉ định
B 4: Chỉ định nếu user telnet và xác thực thành công thì sẽ thiết lập một session 5 phút, nếu user ko sử dụng session này nó sẽ kết thúc sau 5 phút (idle timeout) nếu user sử dụng session này nó sẽ kết thúc sau 15 phút.
b- Replexive ACLs
Cấu hình ACLs cho phép ICMP và TCP traffic cả chiều inbound và outbound nhưng chỉ cho phép nếu gói tin đầu tiên của session bắt nguồn từ mạng nội bộ. Tất cả các traffic khác sẽ bị cấm. Reflexive ACLs được gán trên interface s0/1/0
Các bước cấu hình:
B 1: Tạo một Extend name ACLs để cho phép các traffic đi ra ngoài Internet
B 2: Tạo một Extend name ACLs để chứa Reflexive ACLs tự động được tạo ra khicó gói outbound match với Name ACLs ở bước 1.
B 3: Gán các name ACLs cho interface
c- Time-base ACLs
Các bước cấu hình:
B 1. Định nghĩa khoảng thời gian để thi hành ACLs và đặt cho nó một cái tên.(khoảng thời gian này phụ thuộc vào giờ hệ thống trên router, chức năng này làm việc tốt với sự đồng bộ thời gian của giao thức Network Time Protocol (NTP) nhưng lúc này đồng hồ của router không được sử dụng. )
B 1. Định nghĩa khoảng thời gian để thi hành ACLs và đặt cho nó một cái tên.(khoảng thời gian này phụ thuộc vào giờ hệ thống trên router, chức năng này làm việc tốt với sự đồng bộ thời gian của giao thức Network Time Protocol (NTP) nhưng lúc này đồng hồ của router không được sử dụng. )
B 2. Áp dụng khoảng thời gian này cho ACLs
B 3. ÁP dụng ACL cho interface.
• Hiển thị tất cả ACLs đang sử dụng. Router(config)#show running-config
• Xem ACLs hoạt động trên interface nào đó. Router(config)#show interface [ # ]
• Xem việc đặt và hướng đi của ip ACLs: Router(config)#show ip interfaces [ # ]
• Xem những câu lệnh ACLs: Router(config)#show access-list [ # ]
• Hiển thị tất cả ip ACLs: Router#show ip access-list
• Hiển thị ip ACL 100: Router#show ip access-list 100
• Xóa bộ đếm (to clear the counters use):
router(config)#show access-list [ # ]
router(config)#clear access-list counter [ # ]
• Xóa Access list
router(config)#no ip access-list [standard-extended][#]
router(config)#interface [interface-number]
router(config-if)#no access-list [#] [permit deny] [source address] [wildcard mask]
• Xem ACLs hoạt động trên interface nào đó. Router(config)#show interface [ # ]
• Xem việc đặt và hướng đi của ip ACLs: Router(config)#show ip interfaces [ # ]
• Xem những câu lệnh ACLs: Router(config)#show access-list [ # ]
• Hiển thị tất cả ip ACLs: Router#show ip access-list
• Hiển thị ip ACL 100: Router#show ip access-list 100
• Xóa bộ đếm (to clear the counters use):
router(config)#show access-list [ # ]
router(config)#clear access-list counter [ # ]
• Xóa Access list
router(config)#no ip access-list [standard-extended][#]
router(config)#interface [interface-number]
router(config-if)#no access-list [#] [permit deny] [source address] [wildcard mask]
PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING
1. Khái niệm về route-filtering:
Khi chạy nhiều giao thức chung với nhau và có nhu cầu redistribution từ giao thức này vào giao thức kia ta có thể gặp phải vấn đề đường dẫn không tối ưu, route feedback (sau khi redistribute route xong route lại quay ngược về nơi sinh ra do distance của giao thức được redistribute vào thấp hơn)
Sử dụng tính năng lọc route giúp nhà quảng trị điều khiển được những route quảng bá, redistribute, …
Việc lọc route những giao thức distance thì hiệu quả hơn những giao thức link-state. Vì giao thức với giao thức distance thì router quảng bá route dựa trên bảng routing table cả nó.
Những router đang chạy link-state protocol xác định route của chúng dựa trên thông tin trong link-state database hơn là những route được neighbors quảng bá vào nó.
Việc lọc route không ảnh hưởng đến quảng bá trạng thái link hay bảng link-state database.
Kết quả việc lọc route có thể tác động trên router được cấu hình lọc nhưng không ảnh hưởng đến route đi vào router neighbor. (đối với Link-state, bởi vì nó quảng bá trạng thái của link)
Vì vậy việc lọc route thì thường được sử dụng trên con ASBR vì nơi đây route sẽ đi vào và đi ra giống dạng của distace vector.
Sử dụng tính năng lọc route giúp nhà quảng trị điều khiển được những route quảng bá, redistribute, …
Việc lọc route những giao thức distance thì hiệu quả hơn những giao thức link-state. Vì giao thức với giao thức distance thì router quảng bá route dựa trên bảng routing table cả nó.
Những router đang chạy link-state protocol xác định route của chúng dựa trên thông tin trong link-state database hơn là những route được neighbors quảng bá vào nó.
Việc lọc route không ảnh hưởng đến quảng bá trạng thái link hay bảng link-state database.
Kết quả việc lọc route có thể tác động trên router được cấu hình lọc nhưng không ảnh hưởng đến route đi vào router neighbor. (đối với Link-state, bởi vì nó quảng bá trạng thái của link)
Vì vậy việc lọc route thì thường được sử dụng trên con ASBR vì nơi đây route sẽ đi vào và đi ra giống dạng của distace vector.
Access-list được sử dụng để chọn route (route selection) trong distribute-list và route-map
2. Distribute-list
Distribute-list được dùng nhiều trong quá trình thực hiện kiểm soát và tối ưu các routes (route control & optimize). Một trong những ứng dụng thường thấy là trong quá trình redistribution của các routing protocols với nhau. Distribute-list được dùng để chống hiện tượng route-feedback.
Cách sử dụng:
- Chỉ ra những địa chỉ network bạn muốn loại bỏ (filter) và tạo ra một access-list. Bạn cũng cần xác định bạn muốn lọc theo chiều incoming hay chiều outgoing.
- Nếu dùng theo chiều OUT:
distribute-list access-list-number out [interface-name]
Trong trường hợp này thì distribute-list out sẽ không cho một số routes được quảng bá ra từ router.
- Nếu dùng theo chiều IN:
distribute-list access-list-number in [interface-name]
Distribute-list sẽ ngăn không cho những routes nào đó được đưa vào bảng routing-table.
- Chỉ ra những địa chỉ network bạn muốn loại bỏ (filter) và tạo ra một access-list. Bạn cũng cần xác định bạn muốn lọc theo chiều incoming hay chiều outgoing.
- Nếu dùng theo chiều OUT:
distribute-list access-list-number out [interface-name]
Trong trường hợp này thì distribute-list out sẽ không cho một số routes được quảng bá ra từ router.
- Nếu dùng theo chiều IN:
distribute-list access-list-number in [interface-name]
Distribute-list sẽ ngăn không cho những routes nào đó được đưa vào bảng routing-table.
Dưới đây là một số ví dụ:
ü IGRP Route Filtering:
router igrp 10
network 140.10.0.0
redist rip
default-metric 1 1 1 1 1
distr-list 1 in
access-list 1 deny 170.10.0.0 0.0.255.255
access-list 1 permit any any
Routes 170.10.0.0 sẽ không được đưa vào bảng routes.
router igrp 10
network 140.10.0.0
redist rip
default-metric 1 1 1 1 1
distr-list 1 in
access-list 1 deny 170.10.0.0 0.0.255.255
access-list 1 permit any any
Routes 170.10.0.0 sẽ không được đưa vào bảng routes.
ü EIGRP IP Filtering
router eigrp 1
network 172.16.0.0
network 192.168.5.0
distribute-list 7 out s0
access-list permit 172.16.0.0 0.0.255.255
router eigrp 1
network 172.16.0.0
network 192.168.5.0
distribute-list 7 out s0
access-list permit 172.16.0.0 0.0.255.255
ü RIP
access-list 1 deny 10.2.2.0 0.0.0.255
access-list 1 deny 172.16.0.0 0.0.0.255.255
access-list 1 permit any
router rip
distrbute-list 1 in e0
access-list 1 deny 10.2.2.0 0.0.0.255
access-list 1 deny 172.16.0.0 0.0.0.255.255
access-list 1 permit any
router rip
distrbute-list 1 in e0
3. Route-map
Route map là các công cụ trong đó các logic “if/then” có thể được áp dụng cho một router. Các route-map là các công cụ lập trình được dùng để kiểm soát quá trình redistribution, để hiện thực PBR, để kiểm soát quá trình NAT hoặc để hiện thực BGP.
Có thể dùng route-map cho các mục đích sau đây:
ü Để kiểm soát quá trình redistribution: các route map cho phép kiểm soát một mức cao hơn so với cách dùng distribution list. Route-map không đơn thuần ngăn chặn hay cho phép một mạng giống như distribute list mà còn có khả năng gán metric cho những route bị so trùng .
ü Để kiểm soát và thay đổi thông tin định tuyến: các route map được dùng để thay đổi thông tin định tuyến bằng cách gán giá trị metric cho các route.
ü Định nghĩa chính sách trong PBR: các route-map ra các quyết định dựa trên địa chỉ nguồn. Khi một phép so trùng được tìm thấy trong access-list, sẽ có các hành động tương ứng.
ü Để thêm vào mức độ tinh tế trong cấu hình NAT: các route map định nghĩa dãy của các địa chỉ public và địa chỉ private. Có các lệnh show để giám sát và kiểm tra hoạt động của NAT.
ü Để hiện thực BGP: một trong những điểm mạnh của giao thức BGP là khả năng thực hiện policy based routing. Các thuộc tính trong BGP được dùng để ảnh hưởng đến đường đi cho traffic. Các thuộc tính này thường được hiện thực dùng route maps. Nếu có một phép so trùng thì áp dụng thuộc tính này. Khi này dùng lệnh set để thực hiện. Route map là phương thức chủ yếu được dùng bởi BGP để định nghĩa chính sách định tuyến BGP.
Route map rất giống ACL. Cả hai thực hiện tác vụ if/then, trong đó các tiêu chí được dùng để xác định là gói tin có được cho phép hoặc từ chối hay không. Sự khác nhau cơ bản là route map có khả năng thực hiện hành động thay đổi thuộc tính đến các gói dữ liệu thõa điều kiện so trùng. Trong một ACL, tiêu chí so trùng là ngầm định, trong một route map, đó là một keyword. Điều này có nghĩa rằng, nếu một gói thỏa với một tiêu chuẩn cho trong một route map, một vài hành động phải được thực hiện để thay đổi gói, trong khi accesslist chỉ đơn giản cho phép hoặc từ chối một gói.
Các đặc điểm của route map được tóm tắt trong danh sách sau:
Các đặc điểm của route map được tóm tắt trong danh sách sau:
ü Một route map có một danh sách các tiêu chí và tiêu chuẩn chọn lựa, được liệt kê với phát biểu mạtch.
ü Một route map có khả năng thay đổi các gói hoặc các route bị so trùng bằng cách dùng lệnh set.
ü Một tập hợp của các phát biểu mạch có cùng tên được xem là cùng một route map
ü Route map sẽ ngừng xử lý ngay khi có một phép so trùng được thực hiện, giống như một ACL.
ü Trong một route map, mỗi phát biểu được đánh số thứ tự và có thể được soạn thảo riêng lẽ.
ü Số thứ tự được dùng để chỉ ra thứ tự trong đó các điều kiện được kiểm tra. Như vậy nếu hai phát biểu trong route map có tên là BESTTEST, một phát biểu có chỉ số là 5, một phát biểu có chỉ số là 15 thì phát biểu có chỉ số là 5 sẽ được kiểm tra trước. Nếu không có một phát biểu match trong phát biểu 5 thì phát biểu thứ 15 sẽ được kiểm tra.
ü Route map có thể dùng các IP access-list chuẩn hoặc mở rộng để thiết lập các chính sách định tuyến.
ü Các access-list mở rộng có thể được dùng để chỉ ra tiêu chí so sánh dựa trên phần địa chỉ nguồn và địa chỉ đích, ứng dụng, kiểu giao thức, kiểu dịch vụ ToS và độ ưu tiên.
ü Lệnh match trong các cấu hình route map được dùng để định nghĩa điều kiện phải kiểm tra.
ü Lệnh set trong cấu hình route map được dùng để định nghĩa hành động theo sau một phát biểu so sánh.
ü Một route map có thể chứ các phép AND và OR. Giống như một access-list, có một phát biểu ngầm định DENY ở cuối một route map. Hành động theo sau của phát biểu deny này tùy thuộc route map được dùng như thế nào. Để hiểu điều này một cách chính xác, bạn cần hiểu chính xác route map hoạt động như thề nào.
Danh sách sau đây sẽ giải thích logic của hoạt động route-map:
ü Phát biểu của route map dùng cho PBR có thể được đánh dấu như là permit hoặc deny
ü Chỉ nếu phát biểu được đánh dấu như permit và gói tin bị so trùng, lệnh set mới được áp dụng.
ü Các phát biểu trong route-map sẽ tương ứng với các dòng của một access-list. Chỉ ra một điều kiện so sánh trong route map thì cũng tương tự như chỉ ra nguồn và đích trong access list
ü Các phát biểu trong route map được so sánh với đường đi của gói để xem có một so trùng nào đó hay không. Các phát biểu này sẽ được lần lượt kiểm tra từ trên xuống dưới.
ü Một phát biều so trùng có thể chứa nhiều điều kiện. Ít nhất một điều kiện trong phát biểu match phải là đúng. Đây là phép logic OR
ü Một route-map có thể chứa nhiều phát biểu so sánh. Tất cả các phát biểu match trong route map phải được xem xét là đúng để cho phát biểu của route map là so trùng. Điều kiện này gọi là phép logic AND.
Route-map được sử dụng trong bốn trường hợp:
ü Dùng với NAT
ü Dùng trong redistribution
ü Dùng với BGP
ü Dùng trong PBR
Câu lệnh access list trong Cisco IOS thường được dùng như là một công cụ để chọn lựa "matching" một mẫu traffic nào đó đi qua router. Như bạn cũng đã biết, ở trạng thái bình thường, router cho phép hầu như mọi lưu lượng IP đi qua nó. Nếu, trong một điều kiện nào đó, bạn không muốn cho lưu lượng mail (SMTP/POP3) được đi qua router, bạn cần cấm các traffic này. Lúc này, bạn viết ra một access-list, "quan tâm" đến TCP (SMTP/POP3). Sau đó bạn áp access list vào cổng của router, theo chiều IN/OUT.
Trong ví dụ trên, access list được dùng để lọc gói. Ví dụ cũng chỉ ra là bạn cần chỉ ra traffic mà bạn đang quan tâm (SMTP/POP3), bước kế tiếp là bạn áp dụng access list vào một interface nào đó của router.
Vậy, ACL là một công cụ để lựa ra một loại traffic nào đó mà mình quan tâm.
Công cụ route-map trong Cisco IOS cung cấp một thuận toán tương tự như logic If/Then/Else thường thấy trong các ngôn ngữ lập trình. Một route map chứa một hoặc nhiều câu lệnh route-map và router sẽ xử lý các câu lệnh route-map dựa vào thứ tự đi kèm với chúng.
Mỗi câu lệnh route-map có những thông số so trùng (match) bên trong được cấu hình bằng câu lệnh match. (Để so trùng tất cả gói tin, một mệnh đề route-map chỉ đơn giản đưa ra một câu lệnh match). Đồng thời, câu lệnh route-map cũng có một hoặc nhiều câu lệnh tùy chọn set dùng để áp đặt thông tin, chẳng hạn áp đặt metric cho một số route được redistribute.
Như vậy, một cảm giác giống nhau giữa hai câu lệnh là cả hai cùng có thể thể hiện thuận toán if-then khi cấu hình router. Tuy nhiên, sự khác nhau là route-map mang tính chất tổng quát hơn. Và trong route map cũng có dùng access list.
Các quy luật tổng quát của route map như sau:
ü Mỗi câu lệnh route-map phải có một tên gọi rõ ràng, tất cả các câu lệnh có cùng tên gọi này đều thuộc chung một route map.
ü Mỗi câu lệnh route-map phải có một hành động (permit hoặc deny).
ü Mỗi câu lệnh route-map có một số thứ tự duy nhất, cho phép xóa, chèn các câu lệnh route-map đơn.
ü Khi dùng route-map trong quá trình redistribute, route map sẽ xử lý route lấy từ bảng định tuyến hiện thời chứ không lấy từ database.
ü Route map được xử lý tuần tự dựa vào số thứ tự đính kèm trong các câu lệnh route-map.
ü Khi một route cụ thể đã được so trùng trong route map, nó sẽ không được xử lý trong các câu lệnh route-map đằng sau đó nữa (dùng cho redistribution).
ü Khi một route đã được so trùng với phát biểu route map, nếu route-map có thông số permit đi kèm thì route đó sẽ được redistribute (dùng cho redistribution).
ü Khi một route đã được so trùng với phát biểu route map, nếu route-map có thông số deny đi kèm thì route đó sẽ không được redistribute (dùng cho redistribution).
• Route map thường hay gây nhầm lẫn, đặc biệt khi dùng thông số deny trong câu lệnh route-map.
Ví dụ về route-map:
Route-filtering in redistribution:
Router(config)# access-list 1 deny 192.168.1.0 0.0.255
Router(config)# access-list 1 deny 192.168.2.0 0.0.255
Router(config)# access-list 1 permit any
Router(config)# route-map MYMAP permit 10
Router(config-route-map)# match ip address 1
Router(config-route-map)# set tag 150
Router(config)# router ospf 1
Router(config-router)# redistribute eigrp 10 metric 3 subnets route-map MYMAP
BGP route-filtering:
Router(config)# access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)# route-map MYMAP permit 10
Router(config-route-map)# match ip address 1
Router(config-route-map)# set metric 100
Router(config-route-map)# route-map MYMAP permit 20
Router(config)# router bgp 100
Router(config-router)# neighbor 172.16.1.1 route-map MYMAP out
PHẦN 6. CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS)
1. Syslog:
Syslog là một công cụ (phần mềm) sử dụng để lưu trữ các sự kiện xảy ra trên một thiết bị, hệ thống phục vụ cho công tác quản trị, phát hiện các xâm nhập trái phép... Syslog được xây dựng dựa trên các Trap (phân loại các sự kiện) có tất cả khoảng 7 Trap. Nhưng thông thường thì chỉ dùng Trap Information với Trap Debugging.
Cấu hình Log chỉ cần vài câu lệnh và một máy tính cài sẵn phần mềm Syslog. Các phần mềm Syslog có thể sử dụng là Kiwi-Syslog (Free), Solarwind tốn phí ....
Câu lệnh để cấu hình :
Router(config)#logging <địa chỉ IP của máy cài phần mềm Syslog>
Router(config)#logging trap debugging (có thể thay thế debugging bằng số 7).
Router(config)#logging <địa chỉ IP của máy cài phần mềm Syslog>
Router(config)#logging trap debugging (có thể thay thế debugging bằng số 7).
Rất nhiều thiết bị của Cisco bao gồm router,switch,Pix firewall,ASA… đều có khả năng sử dụng syslog để gởi các thông tin về hệ thống,cảnh báo.Ví dụ như một Cisco router sẽ tạo ra một syslog nếu cổng bị down hay có sự thay đổi về cấu hình.Ta có thể cấu hình cho các thiết bị Cisco gởi thông tin syslog đến 1 syslog server ở bên ngoài để có thể lưu trữ tập trung, trong trường hợp kết nối đến syslog server bị ngắt thì toàn bộ thông tin về syslog của thiết bị sẽ được lưu trữ cục bộ.
Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để truyền dữ liệu. Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin sau:
Facility(1): phân loại nguồn sinh ra syslog (ứng dụng, hệ điều hành, các tiến trình..) Mặc định, thiết bị sử dụng Cisco IOS, CatOS switches, và VPN 3000 Concentrators sử dụng facility là local7 , trong khi đó Cisco PIX Firewalls sử dụng local4 trong thông tin syslog.
Severity(2): Mức độ phát sinh ra các thông tin syslog được phân chia ra như sau
0 Emergency: System is unusable.
1 Alert: Action must be taken immediately.
2 Critical: Critical conditions.
3 Error: Error conditions.
4 Warning: Warning conditions.
5 Notice: Normal but significant condition.
6 Informational: Informational messages.
7 Debug: Debug-level messages.
Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các vấn đề liên quan các vấn đề về phần mềm và phần cứng. Tiến trình khởi động lại ,cổng up/down thì được gởi với mức Notice. Hệ thống khởi động lại là mức Informational. Kết quả của lệnh debug là mức Debug.
1 Alert: Action must be taken immediately.
2 Critical: Critical conditions.
3 Error: Error conditions.
4 Warning: Warning conditions.
5 Notice: Normal but significant condition.
6 Informational: Informational messages.
7 Debug: Debug-level messages.
Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các vấn đề liên quan các vấn đề về phần mềm và phần cứng. Tiến trình khởi động lại ,cổng up/down thì được gởi với mức Notice. Hệ thống khởi động lại là mức Informational. Kết quả của lệnh debug là mức Debug.
Hostname(3): Có thể là tên hoặc Ip của thiết bị sinh ra syslog
Timestamp(4):Thời gian sinh ra syslog theo định dạng MMM DD HH:MM:SS .Thời gian sinh ra syslog phải chính xác nên khi triển khai dịch vụ này ta thường kết hợp với giao thức NTP(Network Time Protocol) để đồng bộ thông tin về thời gian trên tất cả thiết bị .
Message(5): Nội dung Syslog
Giao diện chương trình Kiwi Syslog
Không có nhận xét nào:
Đăng nhận xét