Phần IX: BẢO MẬT MẠNG Chương 25: Access Control List Chương 25: Access Control List Chương này sẽ cung cấp những thông tin và các câu lệnh có liên quan đến những chủ đề sau: - Access Li
Trang 1Phần IX: BẢO MẬT MẠNG
Chương 25: Access Control List
Chương 25: Access Control List
Chương này sẽ cung cấp những thông tin và các câu lệnh có liên quan đến những chủ đề sau:
- Access List number
- Các từ khóa ACL
- Tạo ACL standard
- Gán ACL standard cho một interface
- Kiểm tra ACL
- Xóa ACL
- Tạo ACL extended
- Gán ACL extended cho một interface
- Từ khóa established (tùy chọn)
- Tạo ACL named
- Sử dụng sequence number trong ACL named
- Xóa câu lệnh trong ACL named sử dụng sequence number
- Chú ý với sequence number
- Tích hợp comments cho toàn bộ ACL
- Sử dụng ACL để hạn chế truy cập router thông qua telnet
- Cấu hình ví dụ: ACL
1 Access List numbers
100–199 or 2000–2699 Extended IP
1000–1099 IPX Service Advertising Protocol
2 Các từ khóa ACL
Any Được sử dụng để thay thế cho 0.0.0.0
Trang 2thực hiện so sánh
trường hợp sẽ tương ứng với duy nhất một địa chỉ IP được chỉ ra
3 Tạo ACL Standard
Router(config)#access-list 10 permit
172.16.0.0 0.0.255.255 Tất cả các gói tin có địa chỉ IP nguồn là 172.16.x.x sẽ được phép truyền tiếp
10 Chỉ số nằm trong khoảng từ 1 đến 99,
hoặc 1300 đến 1999, được sử dụng cho ACL standard
được cho phép
Router(config)#access-list 10 deny
host
172.17.0.1
Tất cả các gói tin có địa chỉ IP nguồn là 172.17.0.1 sẽ được phép truyền tiếp
10 Chỉ số nằm trong khoảng từ 1 đến 99,
hoặc 1300 đến 1999, được sử dụng cho ACL standard
chặn lại
Router(config)#access-list 10 permit
any Tất cả các gói tin của tất cả các mạng sẽ được phép truyền tiếp
10 Chỉ số nằm trong khoảng từ 1 đến 99,
hoặc 1300 đến 1999, được sử dụng cho ACL standard
được cho phép
IP
Trang 34 Gán ACL Standard cho một interface
Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface
fa0/0
Router(config-if)#ip access-group 10 in Câu lệnh này được sử dụng để gán ACL
10 vào interface fa0/0 Những gói tin đi vào router thông qua interface fa0/0 sẽ được kiểm tra
* Chú ý:
- Access list có thể được gán vào interface theo cả hai hướng: hướng vào (dùng từ khóa in)
và hướng ra (dùng từ khóa out)
- Gán một ACL standard vào vị trí gần mạng đích hoặc thiết bị đích nhất
5 Kiểm tra ACL
Router#show ip interface Hiển thị tất cả các ACL được gán vào
interface
Router#show access-lists Hiển thị nội dung của tất cả các ACL trên
router
Router#show access-list
access-list-number
Hiển thị nội dung của ACL có chỉ số được chỉ ra trong câu lệnh
Router#show access-list name Hiển thị nội dung của ACL có tên được chỉ
ra trong câu lệnh
Router#show run Hiển thị file cấu hình đang chạy trên
RAM
6 Xóa ACL
Router(config)#no access-list 10 Xóa bỏ ACL có chỉ số là 10
7 Tạo ACL Extended
Router(config)#access-list 110 permit
tcp
172.16.0.0 0.0.0.255 192.168.100.0
0.0.0.255
eq 80
Các gói tin HTTP có địa chỉ IP nguồn là 172.16.0.x sẽ được cho phép truyền đến mạng đích là 192.168.100.x
199, hoặc từ 2000 đến 2699 sẽ được sử dụng để tạo ACL extended IP
Trang 4172.16.0.0 Địa chỉ IP nguồn sẽ được sử dụng để so
sánh
Router(config)#access-list 110 deny
tcp any
192.168.100.7 0.0.0.0 eq 23
Các gói tin Telnet có địa chỉ IP nguồn sẽ
bị chặn lại nếu chúng truy cập đến đích
là 192.168.100.7
199, hoặc từ 2000 đến 2699 sẽ được sử dụng để tạo ACL extended IP
bị từ chối
chỉ mạng
8 Gán ACL extended cho một interface
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 110
out
Chuyển cấu hình vào chế độ interface fa0/0
Đồng thời gán ACL 110 vào interface theo chiều out Những gói tin đi ra khỏi interface fa0/0 sẽ được kiểm tra
* Chú ý:
- Access list có thể được gán vào interface theo cả hai hướng: hướng vào (dùng từ khóa in)
và hướng ra (dùng từ khóa out)
- Duy nhất một access list có thể được gán cho một interface, theo một hướng đi
- Gán một ACL extended ở vị trí gần mạng nguồn hoặc thiết bị nguồn nhất
Trang 59 Từ khóa established (tùy chọn)
Router(config)#access-list 110 permit
tcp
172.16.0.0 0.0.0.255 192.168.100.0
0.0.0.255 eq
80 established
Cho biết một kết nối sẽ được thiết lập
* Chú ý:
- Câu lệnh được kiểm tra tương ứng duy nhất nếu TCP datagram có bit ACK hoặc RST được gán
- Từ khóa established sẽ làm việc duy nhất cho TCP, còn UDP thì không
10 Tạo ACL named
Router(config)#ip access-list extended
Serveraccess Tạo một ACL extended tên là seraccess và chuyển cấu hình vào chế độ ACL
configuration
Router(config-ext-nacl)#permit tcp any
host
131.108.101.99 eq smtp
Cho phép các gói tin của mail từ tất cả các địa chỉ nguồn đến một host có địa chỉ
là 131.108.101.99 Router(config-ext-nacl)#permit udp any
host
131.108.101.99 eq domain
Cho phép các gói tin Domain Name System (DNS) từ tất cả các địa chỉ nguồn đến địa chỉ đích là 131.108.101.99
Router(config-ext-nacl)#deny ip any any
log
Không cho phép tất cả các gói tin từ các mạng nguồn đến tất cả các mạng đích Nếu những gói tin bị chặn lại thì sẽ được phép đưa log
Router(config-ext-nacl)#exit Trở về chế độ cấu hình Global
Configuration
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group
serveraccess
out
Chuyển cấu hình vào chế độ interface fa0/0
Gán ACL serveaccess vào interface fa0/0 theo chiều ra
11 Sử dụng Sequence Number trong ACL named
Router(config)#ip access-list extended
serveraccess2
Tạo một ACL extended tên là serveraccess2
Router(config-ext-nacl)#10 permit tcp
any host
131.108.101.99 eq smtp
Sử dụng một giá trị sequence number là
10 cho dòng lệnh này
Router(config-ext-nacl)#20 permit udp Sử dụng một giá trị sequence number là