1 acl
TRANSCRIPT
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 1/33
PART 1: Qun lý lung d liu bngAccess Control List
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 2/33
TiTi saosao ss dngdng ACL?ACL?
Lc: Qun lý lung d liu b i c ch lc gói tin i qua R outer.
Phân loi: Xác nhn lung d liu cho nhng mc ích c th.
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 3/33
ng ng dngdng caca ACL:ACL: BB lclc
Cho phé p hay t chi gói tin i qua R outer.
Cho phé p hay t chi liên kt ti hoc t cng vty.
Nu không có ACL, tt c gói tin có th bng qua h thng mng.
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 4/33
ng ng dngdng caca AclAcl:: PhânPhân loiloi
y Phân loi lung d liu da trên quá trình kim tra gói tin.
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 5/33
HotHot ngng caca ACL ACL chiuchiu rara
Gói tin i vàocng giao din
N
Y
Chn cng
NAccess
List
?
Có entry
trongBng route
?
Y
Cng ra
Gói tin
S0
Xô chanhng góitin b t
chi
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 6/33
HotHot ngng caca ACL ACL chiuchiu rara
Cng ra
Gói tin
N
Y
Chn cng
Có entrytrongBng route
?N
Gói tin
Kim tra
ACL
Cho phép?
Y
AccessList
?
Y
S0
E0
Gói tin i vàocng giao din
Xô chanhng góitin b t
chi
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 7/33
HotHot ngng caca ACL ACL chiuchiu rara
y Nu không phù h p bt kì r ule nào ca ACL, gói tin b loi b ti
r ule cui cùng.
Cnh báo ngi gi
N
Y
Chn cng
Có entrytrong
Bng route
? N
Y
Kim traACL
Cho phép?
Y
Access
List
?
T chi gó
i tin
N
Cng ra
Gói tin
Gói tin
S0
E0
Gói tin i vàocng giao din
Xô chanhng góitin b t chi
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 8/33
DanhDanh sáchsách cáccác bc bc kimkim tratra: Cho : Cho phé p phé p hay hay loiloi b b
Gói tin n cng theochiu access-group
Xô chanhng góitin b t chi
Y
Cng giao din
im n
T chi
T chi
Y
Phù hp bckim
tra utiên
?
Cho phép
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 9/33
DanhDanh sáchsách cáccác bc bc kimkim tratra: Cho : Cho phé p phé p hay hay loiloi b b
Gói tin n cng theochiu access-group
Xô chanhng góitin b t chi
Y
Cng giao din
im n
T chi
T chi
Y
Phù hp bckim
tra utiên
?
Cho phép
N
T chi Cho phépPhù hp bckim
tra tiptheo
?
YY
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 10/33
DanhDanh sáchsách cáccác bc bc kimkim tratra: Cho : Cho phé p phé p hay hay loiloi b b
Gói tin n cng theochiu access-group Y
Cng giao din
im n
T chi
T chi
Y
Phù hp bckim
tra utiên
?
Cho phép
N
T chi Cho phépPhù hp bc
kimtra tip
theo?
T chiPhù hp bc
kimtra cui
cùng?
YY
N
YY
Cho phép
Xô chanhng góitin b t
chi
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 11/33
DanhDanh sáchsách cáccác bc bc kimkim tratra: Cho : Cho phé p phé p hay hay loiloi b b
Gói tin n cng theochiu access-group Y
Cng giao din
im n
T chi
Y
Phù hp bckim
tra utiên
?
Cho phép
N
T chi Cho phépPhù hp bc
kimtra tip
theo?
T chiPhù hp bc
kimtra cui
cùng?
YY
N
YY
Cho phép
Ng ýt chi
Nu không phù hpt chi tt c
T chi
N
Xô chanhng góitin b t
chi
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 12/33
PhânPhân loiloi ACLACL
Standard ACL
x K im tra a ch ngun
x Ch cho phé p hoc t chi toàn b b giao thc
Extended ACL
x K im tra a ch ngun và íchx Cho phé p hay t chi giao thc hay ng dng c th.
Hai phng pháp dùng xác nhn standard và extended ACLs:
x Num bered ACLs dùng mt s cho vic xác nhn
x Named ACLs dùng mt tên hay chui s cho vic xác nhn
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 13/33
CáchCách thcthc xácxác nhnnhn ACLACL
Num bered standard IPv4 lists (1±99) kim tra iu kin cho tt c gói tin v a ch ngun. Dãy m r ng (1300±1999).
Num bered extended IPv4 lists (100±199) kim tra iu kin a chngun và ích, giao thc TCP/IP c th, và port ích. Dãy m r ng(2000±2699).
Named ACLs xác nhn IP standard and extended ACLs trong mt chui(tên).
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 14/33
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 15/33
HngHng dndn cucu hìnhhình ACLACL
Standard hoc extended ch ra cách thc cho b lc. Ch mt ACL cho mi cng, mi giao thc, và mi hng là
c cho phé p. Th t các phát biu ca ACL iu khin vic kim tra, do ó,
phát biu c kim tra u tiên s nm tr c tiên trong danh
sách. ACL cui cùng luôn luôn ng ý t chi tt c, vì th mi Acl cn
ít nht mt phát biu cho phé p. ACLs c áp vào cng theo chiu i ra hoc i vào. Mt ACL có th lc lung d liu i qua router, hoc lung d
liu n hay t router, tùy thuc vào cách nó c áp t. K hi trin khai ACL trong h thng mng:
x t extended ACLs gn vi ngunx t standard ACLs gn vi ích
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 16/33
LnhLnh dùngdùng chocho ACLACL
y Step 1: Thit l p các bin cho Acl (có th mt hay vài bin)
Router(conf ig)#
access-list access-list-number { permit | deny } { test conditions }
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 17/33
LnhLnh dùngdùng chocho ACLACL
y Step 1: Thit l p các bin cho Acl (có th mt hay vài bin)
Router(conf ig)#
access-list access-list-number { permit | deny } { test conditions }
Step 2: Áp ACL trên cng giao din
IP Access lists thuc dãy s t 1-99 hoc 100-199
{ p rotocol } access-group access-list-number {in | out}
Router(conf ig-if)#
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 18/33
K imK im tratra góigói tin tin vivi Standard ACLStandard ACL
a ch ngun
Segment(ví d,TCP header)
D liuGói tin(IP header)
FrameHeader(ví d,HDLC)
T chn Cho phép
Dùngaccess
list statements1-99
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 19/33
K imK im tratra góigói tin tin vivi Extended ACLExtended ACL
a ch ích
a ch ngun
Giao thc
S Port
Segment(ví d,TCP header)
D liuGói tin(IP header)
FrameHeader(ví d,HDLC)
Dùngaccess
list statements1-99 hoc 100-199
kim tragóiT chi Cho phép
y Mt ví d t gói tinTCP/IP
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 20/33
Wildcard Bits:Wildcard Bits: CáchCách thcthc kimkim tratra bit bit tngtng ngng
0 ngha là kim tra bit tng ng 1 ngha là t chi giá tr bit tng ng
do not check addr ess
(ignor e bits in octet)
=0 0 1 1 1 1 1 1
128 64 32 16 8 4 2 1
=0 0 0 0 0 0 0 0
=0 0 0 0 1 1 1 1
=1 1 1 1 1 1 0 0
=1 1 1 1 1 1 1 1
Octet bit position and addr ess value f or bit
ignor e last 6 addr ess bits
check all addr ess bits
(match all)
ignor e last 4 addr ess bits
check last 2 addr ess bits
Examples
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 21/33
Wildcard Bits Wildcard Bits phù phù h ph p chocho mtmt aa chchhost host cc thth
Ví d 172.30.16.29 0.0.0.0 kim tra tt c các a ch bit
Wildcard mask dùng a ch i tr c b i t khóa host (host 172.30.16.29)
iu kin kim tra: Kim tra tt c các bit (match all)
172.30.16.29
0.0.0.0(checks all bits)
Mt a ch IP host, ví d:
Wildcar d mask:
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 22/33
Wildcard Bits Wildcard Bits phú phú h ph p bt bt kìkì aa chch
Ch p nhn bt kì a ch: 0.0.0.0 255.255.255.255 Nhn mnh vi t khóa any
iu kin kim tra: T chi tt c các bit (match any)
0.0.0.0
255.255.255.255(ignor e all)
Any IP addr ess
Wildcar d mask:
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 23/33
Wildcard Bits Wildcard Bits phù phù h ph p subnetsubnet
Kim tra cho IP subnets 172.30.16.0/24 n 172.30.31.0/24
Networ k Networ k .host
172.30.16172.30.16.0
00 00 00 11 0 0 0 0 Wildcar d mask: 0 0 0 0 1 1 1 1
|<---- match ---->|<----- don·t car e ----->|0 0 0 1 0 0 0 0 = 16
0 0 0 1 0 0 0 1 = 17
0 0 0 1 0 0 1 0 = 18
: :
0 0 0 1 1 1 1 1 = 31
ac ch và wildcard mask :
172.30.16.0 0.0.15.255
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 24/33
Dynamic ACLsDynamic ACLs
Dynamic ACLs (lock-and-key): Users mun i qua router thì b khóa
n khi nó dùng Telnet kt ni n router và xác thc
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 25/33
R eflexive ACLsR eflexive ACLs
Reflexive ACLs: c dùng cho phé p lung d liu i ra và gii hn lung i vào trong phi là phn hi ca mt session bt ngun t bên trong.
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 26/33
TimeTime--Based ACLsBased ACLs
Time-based ACLs: Cho pé p iu khin tr uy nh p da trên thi gian
ca ngày và tun
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 27/33
Standard .Standard .vsvs Extended ACLExtended ACL
Standard Extended
Lc da trên ngun. Ngun và ích
Cho phép hay t chi toàn b b giao thc
Mt giao thc hay port cth
Dãy s t 100 n 199.Dãy s t 1 n 99
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 28/33
� Cho phép ch mt mng
access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)
interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out
Standard IP Access ListV íd1
Standard IP Access ListV íd1
172.16.3.0 172.16.4.0
172.16.4.13E0
S0
E1
Non-
172.16.0.0
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 29/33
Standard IP Access List Standard IP Access List VíVí dd 22
172.16.3.0 172.16.4.0
172.16.4.13E0
S0
E1
Non-
172.16.0.0
T chi mt host c th
access-list 1 deny 172.16.4.13 0.0.0.0access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 30/33
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any
(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
interface ethernet 0ip access-group 101 out
T chi FTP t subnet 172.16.4.0 n subnet 172.16.3.0 ra ngài E0 Cho phé p tt c lung d liu khác
Extended Access List Extended Access List VíVí dd 11
172.16.3.0 172.16.4.0
172.16.4.13E0
S0
E1
Non-
172.16.0.0
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 31/33
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)
interface ethernet 0ip access-group 101 out
T chi Telnet t subnet 172.16.4.0 ra khi E0 Cho phé p tt c lung còn li
Extended Access List Extended Access List VíVí dd 22
172.16.3.0 172.16.4.0
172.16.4.13E0
S0
E1
Non-
172.16.0.0
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 32/33
TngTng ktkt
ACLs có th c dùng lc gói tin hoc phân loi lung dliu cho nhng mc ích c th.
ACLs thc thi tin trình x lý t trên xung và c cu hìnhcho lung d liu i vào hoc i ra.
Có th to mt ACL dùng mt tên hoc s. Named hocnum bered ACLs có th c cu hình nh standard hay extended ACLs.
R eflexive, dynamic, và time-based ACLs thêm nhiu tính nngcho standard và extended ACLs.
Tong mt wildcard bit mask, mt bit 0 ngha là phù h p vi bit tng ng và bit 1 ngha là t chi bit tng ng.
8/6/2019 1 ACL
http://slidepdf.com/reader/full/1-acl 33/33