tỔng quan vỀ an ninh mẠng cisco

Trường DH Công Nghệ thông Tin Đề tài : Router & ACLs

Nhóm 10

MỤC LỤC

PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO ...................................................................... 3

1. An ninh Mạng là gì? ...................................................................................................................... 3

2. An ninh hoạt động như thế nào ..................................................................................................... 3

3. Các doanh nghiệp đang sử dụng các công nghệ an ninh như thế nào ........................................... 4

a. Lòng tin của khách hàng ............................................................................................................ 4

b. Di động ...................................................................................................................................... 4

c. Năng suất cao hơn ..................................................................................................................... 5

d. Giảm chi phí .............................................................................................................................. 5

4. Bắt đầu với An ninh Mạng ............................................................................................................ 5

a. Cấp độ an ninh hiện tại của bạn ................................................................................................. 6

b. Các tài sản của bạn .................................................................................................................... 6

c. Truyền tải thông tin ................................................................................................................... 6

d. Các kế hoạch phát triển .............................................................................................................. 6

e. Đánh giá rủi ro ........................................................................................................................... 7

f. Dễ sử dụng ................................................................................................................................. 7

PHẦN 2. NGUYÊN TẮC ĐỊNH TUYẾN ............................................................................................ 8

1. Khái Niệm ROUTING ................................................................................................................ 8

2. Nguyên tắc định tuyến .................................................................................................................... 8

3. Các Phương Thức Định Tuyến: ...................................................................................................... 8

A. STATIC ROUTIN. ................................................................................................................. 8

các bước cấu hình định tuyến .................................................................................................. 8

B. DYNAMIC ROUTING ......................................................................................................... 10

PHẦN 3. REMOVING PROTOCOL VÀ SERVICES ....................................................................... 17

PHẦN 4: ACCESS CONTROL LISTS (ACL) .................................................................................... 21

I. Một số khái niệm về ACL. ........................................................................................................ 21


Nhóm 10

2. Các loại ACLs ......................................................................................................................... 22

3. Cách đặt ACLs. ....................................................................................................................... 23

4. Hoạt động của ACLs. .............................................................................................................. 23

5. Chú ý: ...................................................................................................................................... 24

6. Thuật toán hoạt động ............................................................................................................... 24

II- Cấu hình Access control lists . ................................................................................................. 27

1. Standard Access lists. .............................................................................................................. 27

2. Extended Access lists. ............................................................................................................. 27

3. Complex ACLs ........................................................................................................................ 28

III- Quản lý các ACLs . ................................................................................................................. 31

PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING ........................................................................... 32

1. Khái niệm về route-filtering: ....................................................................................................... 32

2. Distribute-list ............................................................................................................................... 32

3. Route-map ................................................................................................................................... 33

PHẦN 6. CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS) .................................... 39

1. Syslog: .......................................................................................................................................... 39


Nhóm 10

PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO

1. An ninh Mạng là gì?

Có những lúc, ví dụ như khi bạn rời văn phòng về nhà khi kết thúc ngày

làm việc, bạn sẽ bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng

và thiết bị. Dường như bạn cũng sẽ có một ngăn chứa an toàn hoặc khóa tủ lưu trữ

các tài liệu kinh doanh mật.

Mạng máy tính của bạn cũng đỏi hỏi cùng một mức độ bảo vệ như vậy.

Các công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và sử

dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc

từ vi rút và sâu máy tính trên mạng Internet. Nếu không có An ninh Mạng được

triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng

trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và

thậm chí là các hành động phạm pháp nữa.

2. An ninh hoạt động như thế nào

An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập

hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau. Ngay

cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ

liệu của bạn trước đa dạng các loại tấn công mạng.

Các thông tin an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn

dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ

trước các tấn công. Cụ thể, An ninh Mạng là:

Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài . Các tấn

công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của

doanh nghiệp của bạn. Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các

hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện những

phản ứng thích hợp.

Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc

nào .Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự


Nhóm 10

đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo

vệ.

Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ

thống của họ .Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về truy

cập dữ liệu. Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người

dùng, chức năng công việc hoặc các tiêu chí kinh doanh cụ thể khác.

Giúp bạn trở nên tin cậy hơn .Bởi vì các công nghệ an ninh cho phép hệ

thống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với

những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn.

3. Các doanh nghiệp đang sử dụng các công nghệ an ninh như thế nào

An ninh Mạng đã trở thành một yêu cầu đối với doanh nghiệp, đặc biệt là

những doanh nghiệp hoạt động trên mạng Internet. Khách hàng, nhà cung cấp và

đối tác kinh doanh của bạn kỳ vọng vào bạn để bảo vệ bất kỳ thông tin nào mà họ

chia sẻ với bạn.

Trong khi An ninh Mạng đã gần như trở thành một yêu cầu tiên quyết để vận

hành một doanh nghiệp, nó cũng mang lại lợi ích theo nhiều cách khác nhau.

Dưới đây là những lợi ích mà các doanh nghiệp thu được từ một mạng được bảo

vệ an toàn:

a. Lòng tin của khách hàng

Tính riêng tư được đảm bảo Cộng tác được khuyến khích

Một hệ thống an ninh mạng đảm bảo với khách hàng rằng những thông tin

nhạy cảm như là số thẻ tín dụng hoặc các chi tiết kinh doanh bí mật sẽ không bị

truy cập và khai thác trái phép. Các đối tác kinh doanh của bạn sẽ cảm thấy tự

tin hơn khi chia sẻ dữ liệu như là dự báo doanh thu hoặc lên kế hoạch sản phẩm

trước khi phát hành. Ngoài ra, các công nghệ đó vừa ngăn chặn xâm nhập trái

phép vừa cung cấp cho các đối tác của bạn truy cập an toàn đến thông tin trên

mạng của bạn, giúp bạn cộng tác và làm việc cùng nhau một cách hiệu quả hơn.

b. Di động

Bảo vệ truy cập di động

Nâng cao năng suất khi đang ở ngoài văn phòng


Nhóm 10

Giải pháp An ninh Mạng mạnh mẽ cho phép nhân viên của bạn truy cập an toàn

trên đường đi hoặc từ nhà riêng mà không làm lây lan vi rút hoặc các dạng tấn

công khác. Truy cập mạng an toàn, thuận tiện có nghĩa là nhân viên có thể sử dụng

thông tin quan trọng khi họ cần, giúp họ trở nên có năng suất cao hơn ngay cả

khi họ không ngồi trước bàn làm việc.

c. Năng suất cao hơn

Ít lãng phí thời gian do spam hơn

Đạo đức và cộng tác tốt hơn giữa các nhân viên

Một hệ thống An ninh Mạng hiệu quả có thể nâng cao năng suất trên phạm vi

toàn bộ tổ chức của bạn. Nhân viên mất ít thời gian hơn vào những công việc

không có năng suất như là chống spam và diệt vi rút. Mạng và kết nối Internet của

bạn luôn được an toàn, đảm bảo rằng bạn và nhân viên của mình có truy cập

thường xuyên đến Internet và e-mail.

d. Giảm chi phí

Tránh được gián đoạn dịch vụ

Các dịch vụ tiên tiến được phát triển an toàn

Sự gián đoạn hoạt động của mạng gây thiệt hại lớn đối với mọi thể loại doanh

nghiệp. Bằng cách đảm bảo rằng mạng và kết nối Internet của bạn là an toàn

và hoạt động liên tục, bạn có thể đảm bảo rằng khách hàng có thể tiếp cận bạn khi

họ cần đến bạn. An ninh hiệu quả cho phép doanh nghiệp của bạn bổ sung các

dịch vụ và ứng dụng mới mà không làm ảnh hưởng đến hiệu năng mạng. Sử dụng

một khuynh hướng chủ động để bảo vệ dữ liệu của bạn sẽ đảm bảo rằng doanh

nghiệp của bạn sẽ tồn tại và hoạt động theo yêu cầu.

Khi công ty của bạn tăng trưởng, nhu cầu về mạng cũng thay đổi. Việc thiết

lập một mạng an toàn, mạnh mẽ ngay từ hôm nay sẽ cho phép công ty bạn bổ

sung những chức năng tiên tiến như là kết nối mạng không dây an toàn hoặc thoại

và hội nghị.

4. Bắt đầu với An ninh Mạng

Tùy theo nhu cầu của doanh nghiệp bạn với những công nghệ an ninh thích

hợp là bước đầu tiên để bắt đầu một dự án an ninh mạng.


Nhóm 10

Sử dụng danh sách những cân nhắc dưới đây để giúp bạn bắt đầu:

a. Cấp độ an ninh hiện tại của bạn

Khám phá về những tính năng an ninh mà mạng của bạn đã có. Danh sách này sẽ

giúp xác định những thiếu hụt trong các phương pháp bảo vệ hiện tại của bạn.

Mạng hiện tại có cung cấp tường lửa, mạng riêng ảo, ngăn chặn xâm nhập,

chống vi rút, một mạng không dây an toàn, phát hiện bất thường và quản lý

danh tính cũng như phê duyệt tuân thủ hay không?

Những tính năng này có giao tiếp với nhau không?

b. Các tài sản của bạn

Xây dựng một danh mục về các tài sản của bạn để xác định xem sẽ cần

bao nhiêu cấp độ, lớp bảo vệ mà hệ thống của bạn cần có.

Bên trong doanh nghiệp cụ thể của bạn, những tài sản nào có vai trò quan

trọng nhất đối với sự thành công?

Có phải việc bảo vệ thông tin nội bộ của bạn là quan trọng nhất không; hay là

việc bảo vệ thông tin khách hàng của bạn là quan trọng nhất; hay là cả hai?

Giá trị của những tài sản này lớn đến đâu?

Những tài sản này nằm ở đâu trong doanh nghiệp của bạn?

c. Truyền tải thông tin

Đánh giá xem thông tin đang được chia sẻ như thế nào ở bên trong và bên

ngoài công ty của bạn.

Nhân viên của bạn có cần truy cập nhanh đến thông tin nội bộ để thực hiện

công việc của họ không?

Bạn có chia sẻ dữ liệu bên ngoài bốn bức tường của doanh nghiệp không?

Bạn kiểm soát việc ai có thể truy cập đến thông tin này như thế nào?

Bạn có cung cấp những cấp độ khác nhau về truy cập cho những người dung

mạng khác nhau không?

d. Các kế hoạch phát triển

Công ty bạn có đang lập kế hoạch bổ sung thêm các tính năng tiên tiến vào hệ


Nhóm 10

thống của mình không? Hệ thống của bạn cần phải thích ứng và linh động đến

đâu? Giải pháp an ninh của bạn cần phải có thể hỗ trợ được sự gia tăng lưu lượng

mạng hoặc các ứng dụng tiên tiến mà không làm gián đoạn dịch vụ.

e. Đánh giá rủi ro

Xác định xem những hậu quả của một vụ tấn công an ninh có vượt khỏi phạm

vi về tổn thất năng suất và gián đoạn dịch vụ không.

Môi trường kinh doanh của bạn bị điều chỉnh về mặt pháp lý đến mức

độ nào?

Rủi ro của việc không tuân thủ quy định là gì?

Doanh nghiệp của bạn có thể chấp nhận được mức độ gián đoạn thời

gian hoạt động đến mức độ nào trước khi tổn thất về tài chính hoặc uy tín

xảy ra?

f. Dễ sử dụng

Một công nghệ an ninh tốt nhất cũng sẽ không mang lại cho bạn lợi ích nào cả

nếu nó không được lắp đặt và sử dụng dễ dàng. Hãy đảm bảo là bạn có các tài

nguyên để quản lý hệ thống mà bạn đã lắp đặt.


Nhóm 10

PHẦN 2. NGUYÊN TẮC ĐỊNH TUYẾN

1. Khái Niệm ROUTING

là quá trình chọn lựa các đường đi trên một mạng máy tính để gửi dữ liệu qua đó.

Việc định tuyến được thực hiện cho nhiều loại mạng, trong đó có mạng điện

thoại, liên mạng, Internet, mạng giao thông.

2. Nguyên tắc định tuyến Các giao thức định tuyến phi đạt được các yêu cầu đồng thời sau:

Khám phá động một topo mạng.

Xây dựng các đường ngắn nhất.

Kiểm soát tóm tắt thông tin về các mạng bên ngoài, có thể sử dụng các metric

khác nhau trong mạng cục bộ.

Phản ứng nhanh với sự thay đổi topo mạng và cập nhật các cây đường ngắn

nhất.

Làm tất cả các điều trên theo định kỳ thời gian.

3. Các Phương Thức Định Tuyến:

A. STATIC ROUTIN.

các bước cấu hình định tuyến

Nhà quản trị cấu hình con đường tĩnh

Router sẽ đưa con đường vào trong bảng định tuyến

Con đường định tuyến tĩnh sẽ được đưa vào sử dụng

:

Router(config)#ip route {destination network} {subnet mask} {nexthop ip

address |outgoing interface} <administrative distance>

Administrative distance (AD) là một tham số tùy chọn, chỉ ra độ tin cậy của mộ

con đường.con đường có giá trị càng thấp thì càng được tin cậy. giá trị AD mặc

định của tuyến đường tĩnh là 1.

http://vi.wikipedia.org/w/index.php?title=M%E1%BA%A1ng_%C4%91i%E1%BB%87n_tho%E1%BA%A1i&action=edit&redlink=1

http://vi.wikipedia.org/w/index.php?title=M%E1%BA%A1ng_%C4%91i%E1%BB%87n_tho%E1%BA%A1i&action=edit&redlink=1

http://vi.wikipedia.org/wiki/Li%C3%AAn_m%E1%BA%A1ng

http://vi.wikipedia.org/wiki/Internet


Nhóm 10

DEFAULT ROUTE

: Router(config)#ip route 0.0.0.0 0.0.0.0 {nexthop ip address | outgoing interface}

Default router được sử dụng để gởi các packet đến các mạng đích mà không có

trong bảng định tuyến.thường được sử dụng trên các mạng ở dạng stub network

(mạng chỉ có một con đường để đi ra bên ngoài)


Nhóm 10

Router#show running-config

Router#show ip route

B. DYNAMIC ROUTING

Routing Protocol (giao thức định tuyến)

.

Các loại giao thức định tuyến:

Distance Vector: RIP, IGRP. Hoạt động theo nguyên tắt "hàng xóm", nghĩa là

mỗi router sẻ gửi bảng routing-table của chính mình cho tất cả các router được nối

trực tiếp với mình. Các router đó sau đo so sánh với bản routing-table mà mình

hiện có và kiểm xem route của mình và route mới nhận được, route nào tốt hơn sẻ

được cập nhất. Các routing-update sẻ được gởi theo định kỳ (30 giây với RIP , 60

giây đối với RIP-novell, 90 giây đối với IGRP). Do đó, khi có sự thay đổi trong

mạng, các router sẻ biết được khúc mạng nào down liền.

Ưu điểm:

Dễ cấu hình, router không tốn nhiều tài nguyên để xử lí thông tin định tuyến


Nhóm 10

Nhược điểm: Hệ thống metric quá đơn giản (như rip chỉ là hop-count) nên có thể xảy ra

việc chọn đường đi tốt nhất (best route) không hoàn toàn chính xác.

Do phải cập nhật định kỳ các routing-table, nên một lượng bandwidth đáng kể

sẽ bị lãng phí, throughput giảm đi mặc dù mạng không có thay đổi.

Các Router hội tụ chậm, sẻ dẫn đến việc sai lệch trong bảng route, thiếu ổn

định (route flaping), Routing LOOP.

Link-state: Linkstate không gởi routing-update, mà chỉ gởi tình trạng [state]

của các cái link trong linkstate-database của mình đi cho các router khác, để rồi tự

mỗi router sẽ chạy giải thuật shortest path first (giao thức OSPF - open shortest

path first), tự xây dựng bảng routing-table cho mình. Sau đó khi mạng đả hội tụ,

link-state protocol sẻ không gởi update định kỳ như Distance-vector, mà chỉ gởi

khi nào có một sự thay đổi trong topology mạng (1 line bị down, cần sử dụng

đường back-up)

Ưu điểm: Scalable: có thể thích nghi được với đa số hệ thống, cho phép người thiết kế

có thễ thiết kế mạng linh hoạt, phản ứng nhanh với thay đổi sảy ra.

Do không gởi interval-update, nên link state bảo đảm được băng thông

cho các đưởng mạng .

Khuyết điểm: Do router phải sử lý nhiều, nên chiếm nhiều tài nguyên, giảm performance .

Một khuyết điểm nửa là: linkstate khá khó cấu hình để chạy tốt , những người

làm việc có kinh nghiệm lâu thì mới cấu hình tốt được, do đó các kỳ thi cao

cấp của Cisco chú trọng khá kỷ đến linkstate

Một số giao thức định tuyến

Routing Information Protocol (RIP)

Interior Gateway Routing Protocol (IGRP)

Enhanced Interior Gateway Routing Protocol (EIGRP) Open Shortest Path

First (OSPF)

a. RIP (Giao thức định tuyến Distance Vector)

Sử dụng hop-count lam metric. Maximum hop-coaunt la 15

Administrative distance là 120

Hoạt đọng theo kiểu tin đồn


Nhóm 10

Gởi update định kỳ sau 30 giây. Thong tin gởi đi là toàn bộ bảng định

tuyến

Có 2 verson là RIP v1 và RIP v2

Rip v1: classful (không gửi subnetmask)

RIP v2 classless , hỗ trợ VLSM(có kèm theo subnetmask),authentication


Nhóm 10

Cấu hình

:

Router(config)#router rip

Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép gửi

và nhận RIP update bằng câu lệnh :

Router(config-router)#network <network address>

Kiểm tra hoạt động Show ip protocol Show ip route

Debug ip rip để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router. No

debug ip rip hoặc undebug all để tắt chế độ debug

Show ip protocol để xem routing protocol timer Show protocols xem các protocols nào được cấu hình trên các interface

b. IGRP

Giao thức định tuyến Distance vector

Kết hợp sử dụng bang thông (bandwidth) và đọ trễ (delay) làm metric

Administrative distance là 100


Nhóm 10

Hoạt động theo kiểu tin đồn

Gởi update định lỳ sau 90 giây . thông tin gủi đi là toàn bộ bảng định tuyến

classful (không gủi subnetmask)

Là giao thức riêng của Cisco Cấu hình

: Router(config)#router igrp <AS> Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép

gủi và nhận IGRP update bằng lệnh :

: Router(config-router)#network <network address>

(*) AS (Autonomous System): là một mạng được quản trị chung với các chính sách

định tuyến chung. Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia

sẻ thông tin tìm đường với nhau.

Kiểm tra hoạt động Show ip protocol Show ip route Debug ip igrp events để xem các cập nhật của IGRP được gửi và nhận trên router.

No debug ip igrp events hoặc undebug all để tắt chế độ debug

Show ip protocol để xem routing protocol timer Show protocols xem các protocols nào được cấu hình trên các interface Debug ip igrp transactions để xem các sự IGRP events được xử lý trên router.

c. EIGRP

Giao thức đọc quyền cua cisco .

Giao thức định tuyến classless(gởi kèm thông tin ve subnet mask trong update).

Giao thức distance-vector.

Chỉ gửi update khi có sự thay đổi trên mạng.

Hỗ trợ các giao thức IP, IPX và Apple Talk.

Hỗ trợ VLSM/CIDR.

Cho phép thực hiện quá trình summarization tại biên mạng.

Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL.

Xây dựng và duy trì các bảng neighbor table,topology table và routing table.


Nhóm 10

Metric được tính dựa trên các con đường có giá thàng không bằng nhau (unequal-

cost).

Giá trị AD bằng 90.

Khắc phục được vấn đề mạng không liên tục gặp phản đối với các giao thức RIP v1

và IGRP.


Nhóm 10

Cấu hình

Kích hoạt giao thức dịnh tuyến EIGRP Router(config)# router eigrp <AS number>

Kích hoạt các interface sẽ gởi và nhận update, cũng như khai báo các network cần

quảng bá: Router(config-router)# network <network number>

- : Router(config-router)# no auto

summary

các câu lệnh để troubleshoot: show ip route, show ip route eigrp, show ip eigrp

neighbors, show ip eigrp topology.

d. OSPF

Chuẩn mở .

Giao thức link-state.

Chỉ hỗ trợ giao thức IP.

Gom nhóm các network và router vào trong từng area. Luôn tồn tại area

0(backbone area ).tất cả các area khác (nếu có) dều phải nồi vào area 0.

Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến các

đích.

Cho phép cân bằng trên các con đường bằng giá trị bằng nhau(equal-cost).

Hỗ trợ VLSM/CIDR.

Chỉ gửi update khi có sự thay đổi mạng.

Khắc phục vấn đề liên quan đến discontiguous network.

Xây dựng và duy trì các neighbor database ,topology database .

Giá trị AD bằng 110.


Nhóm 10

Cấu hình Kích hoạt giao thức định tuyến ÓPF Router(config)#router ospf <process ID>

Cấu hình OSPF area

Router(config-router)#network <network number><wildcard mask> area <area

ID>

Các câu lệnh troubleshoot: show ip route, show ip ospf, show ip ospf database,

show ip ospf interface, show ip ospf neighbor.

PHẦN 3. REMOVING PROTOCOL VÀ SERVICES


Nhóm 10

Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo protocol và

service port:

Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source address] [destination address] {service port|eq service} access-list-number: Với Extended Access list, chỉ số này nằm trong khoảng

100- 199, 2000-2069 . Protocol: 0 – 255 IP protocol number (tham khảo tại

http://www.iana.org/assignments/protocol-numbers/protocol-

numbers.xml)hoặc các protocol phổ biến sau:

Ahp Authentication Header Protocol Eigrp Cisco's EIGRP routing protocol Esp Encapsulation Security Payload Gre Cisco's GRE tunneling Icmp Internet Control Message Protocol Igmp Internet Gateway Message Protocol Ip Any Internet Protocol Ipinip IP in IP tunneling Nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml


Nhóm 10

pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol

Services và port number tương ứng:

Well-known ports: 0–1023 Tham khảo đầy đủ tại http://www.iana.org/assignments/port-numbers

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Reg

istered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:

21: File Transfer Protocol (FTP)

22: Secure Shell (SSH)

23: Telnet remote login service

25: Simple Mail Transfer Protocol (SMTP)

53: Domain Name System service

80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web

110: Post Office Protocol (POP)

119: Network News Transfer Protocol (NNTP)

161: Simple Network Management Protocol (SNMP)

443: HTTPs with Transport Layer Security or Secure Sockets Layer

Registered ports: 1024–49151 Tham khảo đầy đủ tại http://www.iana.org/assignments/port-numbers

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Reg

istered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:

1080 TCP SOCKS proxy

1167 UDP phone, conference calling

1194 TCP UDP OpenVPN

1220 TCP QuickTime Streaming Server administration

1234 UDP VLC media player Default port for UDP/RTP stream

1293 TCP UDP IPSec (Internet Protocol Security)

1352 TCP IBM Lotus Notes/Domino[36] (RPC) protocol

1470 TCP Solarwinds Kiwi Log Server

1503 TCP UDP Windows Live Messenger (Whiteboard and Application

Sharing)

1512 TCP UDP Microsoft Windows Internet Name Service (WINS)

1513 TCP UDP Garena Garena Gaming Client

http://www.iana.org/assignments/port-numbers

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers%23Registered_ports:_1024.E2.80.9349151


http://www.iana.org/assignments/port-numbers




Nhóm 10

Dynamic, private or ephemeral ports: 49152–65535 Gồm các port được sử dụng

mà không cần đăng kí với IANA, sử dụng trong các dịch vụ chạy trong mạng nội

bộ, hoặc các dịch vụ phát triển riêng.


Nhóm 10

PHẦN 4: ACCESS CONTROL LISTS (ACL)

I. Một số khái niệm về ACL. ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router.

Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại

packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ

nguồn, địa chỉ đích hoặc chỉ số port

ACL(Access–control-list) được sử dụng cho lưu thông Layer 3 (routable traffic).

Acl dùng để xác định gói tin lưu chuyển vào ra trên giao diện router, kết quả sau khi

xác định có thể sử dụng vào nhiều mục đích khác nhau như là :

Xử lý các chính sách an ninh ( xác thực, VPN, Firewal)

Xử lý các chính sách định tuyến (Destination / source –based routing)

Xử lý các chính sách NAT/PAT

1. Access-list dùng để làm gì?

Access-list dùng để lọc lưu lượng mạng bằng cách kiểm soát việc định

tuyến các gói tin được chuyển tiếp hoặc chặn lại tại router. Khi đó

router kiểm tra từng gói tin liệu để chuyển tiếp hay là đánh rớt các gói

tin dựa trên danh sách đã được ta định sẵn.

Access có thể là địa chỉ nguồn của lưu lượng truy cập, địa chỉ đích của

giao thông, giao thức lớp trên hoặc các thông tin khác. Người dùng có

thể đôi khi thành công thoát khỏi aceess-list cơ bản vì không yêu cầu

xác thực.

2. Tại sao phải sữ dụng ACLs?


Nhóm 10

- Quản lý các IP traffic - Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc

các packet qua router

• Chức năng: +Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing) + Thuận tiện cho việc lọc gói tin ip + Cung cấp tính sẵn sàng mạng cao

2. Các loại ACLs

Có 2 loại Access lists chính là: Standard Access lists và Extended Access lists

Standard ACLs:

Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng nên được đặt gần đích

(Destination).


Nhóm 10

Extended ACLs:

Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network

layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport

layer header”. Nên đặt gần nguồn (source).

Complex ACLs: Ngoài ra còn có thêm các ACLs khác như: Dynamic ACLs,

Reflexive ACLs, Time-base ACLs.

Dynamic ACLs: Lock and key cho phép lọc các ip tracffic động.

Dùng ACLs extended trong việc tạo ra các ACLs bảo mật hơn

Sử dụng khi có host từ xa muốn truy cập đến localhost

Reflexive ACLs: Ngăn chặn những traffic lạ từ ngoài vào trong localhost

Những tracffic từ trong ra ngoài thì được cho phép từ ngoài đi vào trong

Time-base ACLs Quản lý ACLs theo thời gian mà người quản trị qui định trước

3. Cách đặt ACLs. a. Inbound ACLs.

Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên

Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra

ngoài (outbound interface). Tại đây những gói tin sẽ “dropped” nếu không trùng

với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ

được xử lý trước khi chuyển giao (transmission).

b. Outbound ACLs.

Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định

tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài

hàng đợi (outbound queue).

4. Hoạt động của ACLs.


Nhóm 10

- ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu

hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh

sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.

Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì

một câu lệnh mặc định “deny any” được thực hiện. Cuối access- list mặc định sẽ là

lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu

lệnh permit.

Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách.

Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích.

Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó.

5. Chú ý: Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface.

Một interface có thể có nhiều ACL.

Router không thể lọc traffic mà bắt đầu từ chính nó.

Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách,

nó sẽ đặt cuối danh sách.

Standard ACLs: Nên đặt gần đích của traffic.

Extended ACLs: Nên đặt gần nguồn của traffic.

Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều

“OUT”

6. Thuật toán hoạt động Hình ảnh mô tả hoạt động của ACLs:


Nhóm 10

Cổng vào dữ liệu được gọi là Incoming, cồng ra là Outcomming, trước tiên nó sẽ

dò bảng định tuyến, nếu đã đúng thì tiếp điến là kiểm tra ACLs, nếu đúng thì đi

tiếp, ngược lại sẽ bi huỷ bỏ.

ACLs hoạt động theo thứ tự và thực hiện câu lệnh đầu tiên nếu nó matched.


Nhóm 10

Hình trên cho ta thấy ACLs kiểm tra các danh sách truy cập như thế nào.


Nhóm 10

II- Cấu hình Access control lists .

1. Standard Access lists. Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999. Có 2 bước để tạo ACLs: B1: Định nghĩa danh sách ACLs để đặt vào interface. router(config)#access-list [ACL number] [permit|deny] [source address] [wildcard

mask] [log]

Hoặc là : router(config)#access-list [ACL number] [permit|deny] [host|any] [source address]

B2: Sau đó đặt danh sách(ACLs) vào interface trên router mà ta muốn chặn gói tin

ngay tại đó.

router(config)#interface [interface-number]

router(config-if)#ip access-group [ACL number] [in out] - vì standard access list chỉ kiểm tra được địa chỉ nguồn nên phải áp access list vào cổng gần đích nhất

2. Extended Access lists. #: Extanded ACLs sử dụng số từ 100 -> 199 hay 2000 -> 2699.

Cũng giống standard ACL và thêm một số cách lọc gói tin như: Source and

destination IP address (Địa chỉ nguồn địa chỉ đích) IP protocol – TCP, UDP, ICMP

(cấm giao thức)

Port information (WWW, DNS, FTP, TELNET,…) ( cấm các dịch vụ thông qua

các cổng hoạt động của nó) Các lệnh cấu hình:

Ta cũng thực hiện 2 bước giống như Standard ACLs B1: Tạo access list tại grobal config mode router(config)#access-list [#] [permit deny] [protocol] [source address] [wildcard

mask] [operator source port] [destination address] [wildcard mask] [operator

destination port] [log]

Hoặc


Nhóm 10

router(config)#access-list [#] [permit deny] [protocol] [host] [source address]

[host] [destination address][ lt, gt, neq, eq, range] [port number]

B2: ÁP DỤNG ACCESS LIST VÀO CỔNG router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] - interface access control Một số port thông dụng: 21 FTP 23 TELNET 25 SMTP 53 DNS 69 TFTP 80 WWW 161 SNMP 520 RIP

3. Complex ACLs a. Dynamic ACLs: Các bước cấu hình: B 1: Tạo một tài khoản người dùng local trên router B 2: Tạo một Extended ACLs cho phép tất cả các host được telnet đến host

10.2.2.2. Khi telnet thành công sẽ cho phép đường mạng 192.168.10.0 đi qua

đường mạng 192.168.30.0 với thời gian timeout 15 phút (absolute time)(ALCs

động sẽ sinh ra khi lệnh access-enable được bật lên và sẽ mất đi sau 15 phút bất

chấp user có sử dụng nó hay ko)

B 3: Gán ACLs cho interface chỉ định B 4: Chỉ định nếu user telnet và xác thực thành công thì sẽ thiết lập một session 5

phút, nếu user ko sử dụng session này nó sẽ kết thúc sau 5 phút (idle timeout) nếu

user sử dụng session này nó sẽ kết thúc sau 15 phút.


Nhóm 10

b. Replexive ACLs Cấu hình ACLs cho phép ICMP và TCP traffic cả chiều inbound và outbound

nhưng chỉ cho phép nếu gói tin đầu tiên của session bắt nguồn từ mạng nội bộ. Tất

cả các traffic khác sẽ bị cấm. Reflexive ACLs được gán trên interface s0/1/0

Các bước cấu hình: B 1: Tạo một Extend name ACLs để cho phép các traffic đi ra ngoài Internet B 2: Tạo một Extend name ACLs để chứa Reflexive ACLs tự động được tạo ra

khicó gói outbound match với Name ACLs ở bước 1.

B 3: Gán các name ACLs cho interface


Nhóm 10

c. Time-base ACLs


Nhóm 10

Các bước cấu hình: B 1. Định nghĩa khoảng thời gian để thi hành ACLs và đặt cho nó một cái

tên.(khoảng thời gian này phụ thuộc vào giờ hệ thống trên router, chức năng này

làm việc tốt với sự đồng bộ thời gian của giao thức Network Time Protocol (NTP)

nhưng lúc này đồng hồ của router không được sử dụng. )

B 2. Áp dụng khoảng thời gian này cho ACLs B 3. ÁP dụng ACL cho interface.

III- Quản lý các ACLs .

Hiển thị tất cả ACLs đang sử dụng. Router(config)#show running-config

Xem ACLs hoạt động trên interface nào đó. Router(config)#show interface [ #

]

Xem việc đặt và hướng đi của ip ACLs:Router(config)#show ip interfaces [ # ]

Xem những câu lệnh ACLs: Router(config)#show access-list [ # ]

Hiển thị tất cả ip ACLs: Router#show ip access-list

Hiển thị ip ACL 100: Router#show ip access-list 100

Xóa bộ đếm (to clear the counters use): router(config)#show access-list [ # ]

router(config)#clear access-list counter [ # ]

Xóa Access list

router(config)#no ip access-list [standard-extended][#]

router(config)#interface [interface-number]

router(config-if)#no access-list [#] [permit deny] [source address] [wildcard

mask]


Nhóm 10

PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING

1. Khái niệm về route-filtering: Khi chạy nhiều giao thức chung với nhau và có nhu cầu redistribution từ giao thức

này vào giao thức kia ta có thể gặp phải vấn đề đường dẫn không tối ưu, route

feedback (sau khi redistribute route xong route lại quay ngược về nơi sinh ra do

distance của giao thức được redistribute vào thấp hơn)

Sử dụng tính năng lọc route giúp nhà quảng trị điều khiển được những route quảng bá, redistribute, … Việc lọc route những giao thức distance thì hiệu quả hơn những giao thức link-

state. Vì giao thức với giao thức distance thì router quảng bá route dựa trên bảng

routing table cả nó.

Những router đang chạy link-state protocol xác định route của chúng dựa trên

thông tin trong link-state database hơn là những route được neighbors quảng bá

vào nó. Việc lọc route không ảnh hưởng đến quảng bá trạng thái link hay bảng

link-state database.

Kết quả việc lọc route có thể tác động trên router được cấu hình lọc nhưng không

ảnh hưởng đến route đi vào router neighbor. (đối với Link-state, bởi vì nó quảng bá

trạng thái của link)

Vì vậy việc lọc route thì thường được sử dụng trên con ASBR vì nơi đây route sẽ

đi vào và đi ra giống dạng của distace vector.

Access-list được sử dụng để chọn route (route selection) trong distribute-list và

route-map

2. Distribute-list Distribute-list được dùng nhiều trong quá trình thực hiện kiểm soát và tối ưu các

routes (route control & optimize). Một trong những ứng dụng thường thấy là trong

quá trình redistribution của các routing protocols với nhau. Distribute-list được

dùng để chống hiện tượng route-feedback.

Cách sử dụng:


Nhóm 10

- Chỉ ra những địa chỉ network bạn muốn loại bỏ (filter) và tạo ra một access-list.

Bạn cũng cần xác định bạn muốn lọc theo chiều incoming hay chiều outgoing. - Nếu dùng theo chiều OUT: distribute-list access-list-number out [interface-

name]

Trong trường hợp này thì distribute-list out sẽ không cho một số routes được quảng

bá ra từ router.

- Nếu dùng theo chiều IN: distribute-list access-list-number in [interface-name] Distribute-list sẽ ngăn không cho những routes nào đó được đưa vào bảng routing-

table.

Dưới đây là một số ví dụ

IGRP Route Filtering:

router igrp 10 network 140.10.0.0 redist rip

default-metric 1 1 1 1 1 distr-list 1 in

access-list 1 deny 170.10.0.0 0.0.255.255 access-list 1 permit any any

Routes 170.10.0.0 sẽ không được đưa vào bảng routes. EIGRP IP Filtering

router eigrp 1 network 172.16.0.0 network 192.168.5.0 distribute-list 7 out s0

access-list permit 172.16.0.0 0.0.255.255

RIP

access-list 1 deny 10.2.2.0 0.0.0.255 access-list 1 deny 172.16.0.0 0.0.0.255.255 access-list 1 permit any

router rip

distrbute-list 1 in e0

3. Route-map

Route map là các công cụ trong đó các logic “if/then” có thể được áp dụng cho một

router. Các route-map là các công cụ lập trình được dùng để kiểm soát quá trình

redistribution, để hiện thực PBR, để kiểm soát quá trình NAT hoặc để hiện thực

BGP.Có thể dùng route-map cho các mục đích sau đây:

Để kiểm soát quá trình redistribution: các route map cho phép kiểm soát một

mức cao hơn so với cách dùng distribution list. Route-map không đơn thuần


Nhóm 10

ngăn chặn hay cho phép một mạng giống như distribute list mà còn có khả

năng gán metric cho những route bị so trùng .

Để kiểm soát và thay đổi thông tin định tuyến: các route map được dùng để

thay đổi thông tin định tuyến bằng cách gán giá trị metric cho các route.

Định nghĩa chính sách trong PBR: các route-map ra các quyết định dựa trên

địa chỉ nguồn. Khi một phép so trùng được tìm thấy trong access-list, sẽ có

các hành động tương ứng.

Để thêm vào mức độ tinh tế trong cấu hình NAT: các route map định nghĩa

dãy của các địa chỉ public và địa chỉ private. Có các lệnh show để giám sát

và kiểm tra hoạt động của NAT.

Để hiện thực BGP: một trong những điểm mạnh của giao thức BGP là khả

năng thực hiện policy based routing. Các thuộc tính trong BGP được dùng

để ảnh hưởng đến đường đi cho traffic. Các thuộc tính này thường được

hiện thực dùng route maps. Nếu có một phép so trùng thì áp dụng thuộc tính

này. Khi này dùng lệnh set để thực hiện. Route map là phương thức chủ yếu

được dùng bởi BGP để định nghĩa chính sách định tuyến BGP.

Route map rất giống ACL. Cả hai thực hiện tác vụ if/then, trong đó các tiêu chí

được dùng để xác định là gói tin có được cho phép hoặc từ chối hay không. Sự

khác nhau cơ bản là route map có khả năng thực hiện hành động thay đổi thuộc

tính đến các gói dữ liệu thõa điều kiện so trùng. Trong một ACL, tiêu chí so trùng

là ngầm định,trong một route map, đó là một keyword. Điều này có nghĩa rằng, nếu

một gói thỏa với một tiêu chuẩn cho trong một route map, một vài hành động phải

được thực hiện để thay đổi gói, trong khi accesslist chỉ đơn giản cho phép hoặc từ

chối một gói.

Các đặc điểm của route map được tóm tắt trong danh sách sau: Một route map có một danh sách các tiêu chí và tiêu chuẩn chọn lựa, được liệt

kê với phát biểu mạtch.

Một route map có khả năng thay đổi các gói hoặc các route bị so trùng bằng cách dùng lệnh set. Một tập hợp của các phát biểu mạch có cùng tên được xem là cùng một route


Nhóm 10

map Route map sẽ ngừng xử lý ngay khi có một phép so trùng được thực hiện,

giống như một ACL.

Trong một route map, mỗi phát biểu được đánh số thứ tự và có thể được soạn

thảo riêng lẽ.

Số thứ tự được dùng để chỉ ra thứ tự trong đó các điều kiện được kiểm tra. Như vậy nếu hai phát biểu trong route map có tên là BESTTEST, một phát biểu có

chỉ số là 5, một phát biểu có chỉ số là 15 thì phát biểu có chỉ số là 5 sẽ được kiểm

tra trước. Nếu không có một phát biểu match trong phát biểu 5 thì phát biểu thứ 15

sẽ được kiểm tra.

Route map có thể dùng các IP access-list chuẩn hoặc mở rộng để thiết lập các

chính sách định tuyến.

Các access-list mở rộng có thể được dùng để chỉ ra tiêu chí so sánh dựa trên

phần địa chỉ nguồn và địa chỉ đích, ứng dụng, kiểu giao thức, kiểu dịch vụ ToS

và độ ưu tiên.

Lệnh match trong các cấu hình route map được dùng để định nghĩa điều kiện

phải kiểm tra.

Lệnh set trong cấu hình route map được dùng để định nghĩa hành động theo sau một phát biểu so sánh. Một route map có thể chứ các phép AND và OR. Giống như một access-list, có

một phát biểu ngầm định DENY ở cuối một route map. Hành động theo sau của

phát biểu deny này tùy thuộc route map được dùng như thế nào. Để hiểu điều

này một cách chính xác, bạn cần hiểu chính xác route map hoạt động như thề

nào.

Danh sách sau đây sẽ giải thích logic của hoạt động route-map: Phát biểu của route map dùng cho PBR có thể được đánh dấu như là permit

hoặc deny

Chỉ nếu phát biểu được đánh dấu như permit và gói tin bị so trùng, lệnh set mới được áp dụng. Các phát biểu trong route-map sẽ tương ứng với các dòng của một access- list.


Nhóm 10

Chỉ ra một điều kiện so sánh trong route map thì cũng tương tự như chỉ ra

nguồn và đích trong access list

Các phát biểu trong route map được so sánh với đường đi của gói để xem có

một so trùng nào đó hay không. Các phát biểu này sẽ được lần lượt kiểm tra từ

trên xuống dưới.

Một phát biều so trùng có thể chứa nhiều điều kiện. Ít nhất một điều kiện trong phát biểu match phải là đúng. Đây là phép logic OR Một route-map có thể chứa nhiều phát biểu so sánh. Tất cả các phát biểu match

trong route map phải được xem xét là đúng để cho phát biểu của route map là

so trùng. Điều kiện này gọi là phép logic AND.

Route-map được sử dụng trong bốn trường hợp: Dùng với NAT Dùng trong redistribution Dùng với BGP Dùng trong PBR Câu lệnh access list trong Cisco IOS thường được dùng như là một công cụ để

chọn lựa "matching" một mẫu traffic nào đó đi qua router. Như bạn cũng đã biết, ở

trạng thái bình thường, router cho phép hầu như mọi lưu lượng IP đi qua nó. Nếu,

trong một điều kiện nào đó, bạn không muốn cho lưu lượng mail (SMTP/POP3)

được đi qua router, bạn cần cấm các traffic này. Lúc này, bạn viết ra một access-

list, "quan tâm" đến TCP (SMTP/POP3). Sau đó bạn áp access list vào cổng của

router, theo chiều IN/OUT.


Nhóm 10

Trong ví dụ trên, access list được dùng để lọc gói. Ví dụ cũng chỉ ra là bạn cần chỉ ra traffic mà bạn đang quan tâm (SMTP/POP3), bước kế tiếp là bạn áp dụng access list vào một interface nào đó của router.

Vậy, ACL là một công cụ để lựa ra một loại traffic nào đó mà mình quan tâm.

Công cụ route-map trong Cisco IOS cung cấp một thuận toán tương tự như logic If/Then/Else thường thấy trong các ngôn ngữ lập trình. Một route map chứa một

hoặc nhiều câu lệnh route-map và router sẽ xử lý các câu lệnh route-map dựa vào

thứ tự đi kèm với chúng.

Mỗi câu lệnh route-map có những thông số so trùng (match) bên trong được cấu

hình bằng câu lệnh match. (Để so trùng tất cả gói tin, một mệnh đề route-map chỉ

đơn giản đưa ra một câu lệnh match). Đồng thời, câu lệnh route-map cũng có một

hoặc nhiều câu lệnh tùy chọn set dùng để áp đặt thông tin, chẳng hạn áp đặt metric

cho một số route được redistribute.

Như vậy, một cảm giác giống nhau giữa hai câu lệnh là cả hai cùng có thể thể hiện

thuận toán if-then khi cấu hình router. Tuy nhiên, sự khác nhau là route-map mang

tính chất tổng quát hơn. Và trong route map cũng có dùng access list.

Các quy luật tổng quát của route map như sau: Mỗi câu lệnh route-map phải có một tên gọi rõ ràng, tất cả các câu lệnh có cùng

tên gọi này đều thuộc chung một route map.

Mỗi câu lệnh route-map phải có một hành động (permit hoặc deny). Mỗi câu lệnh route-map có một số thứ tự duy nhất, cho phép xóa, chèn các câu lệnh route-map đơn. Khi dùng route-map trong quá trình redistribute, route map sẽ xử lý route lấy từ

bảng định tuyến hiện thời chứ không lấy từ database.

Route map được xử lý tuần tự dựa vào số thứ tự đính kèm trong các câu lệnh route-map.


Nhóm 10

Khi một route cụ thể đã được so trùng trong route map, nó sẽ không được xử lý

trong các câu lệnh route-map đằng sau đó nữa (dùng cho redistribution).

Khi một route đã được so trùng với phát biểu route map, nếu route-map có thông số

permit đi kèm thì route đó sẽ được redistribute (dùng cho redistribution).

Khi một route đã được so trùng với phát biểu route map, nếu route-map

có thông số deny đi kèm thì route đó sẽ không được redistribute (dùng

cho redistribution)

Route map thường hay gây nhầm lẫn, đặc biệt khi dùng thông số deny

trong câu lệnh route-map.

Ví dụ về route-map: Route-filtering in redistribution: Router(config)# access-list 1 deny 192.168.1.0 0.0.255 Router(config)# access-list 1 deny 192.168.2.0 0.0.255 Router(config)# access-list 1 permit any Router(config)# route-map MYMAP permit 10 Router(config-route-map)# match ip address 1 Router(config-route-map)# set tag 150

Router(config)# router ospf 1 Router(config-router)# redistribute eigrp 10 metric 3 subnets route-map MYMAP BGP route-filtering: Router(config)# access-list 1 permit 10.1.1.0 0.0.0.255 Router(config)# route-map MYMAP permit 10 Router(config-route-map)# match ip address 1 Router(config-route-map)# set metric 100 Router(config-route-map)# route-map MYMAP permit 20

Router(config)# router bgp 100 Router(config-router)# neighbor 172.16.1.1 route-map MYMAP out


Nhóm 10

PHẦN 6. CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS)

1. Syslog:

Syslog là một công cụ (phần mềm) sử dụng để lưu trữ các sự kiện xảy ra trên

một thiết bị, hệ thống phục vụ cho công tác quản trị, phát hiện các xâm nhập trái

phép... Syslog được xây dựng dựa trên các Trap (phân loại các sự kiện) có tất cả

khoảng 7Trap. Nhưng thông thường thì chỉ dùng Trap Information với Trap

Debugging.

Cấu hình Log chỉ cần vài câu lệnh và một máy tính cài sẵn phần mềm Syslog.

Các phần mềm Syslog có thể sử dụng là Kiwi-Syslog (Free), Solarwind tốn phí ....

Câu lệnh để cấu hình : Router(config)#logging <địa chỉ IP của máy cài phần mềm Syslog> Router(config)#logging trap debugging (có thể thay thế debugging bằng số 7).

Rất nhiều thiết bị của Cisco bao gồm router,switch,Pix firewall,ASA… đều có

khả năng sử dụng syslog để gởi các thông tin về hệ thống,cảnh báo.Ví dụ như

một Cisco router sẽ tạo ra một syslog nếu cổng bị down hay có sự thay đổi về cấu

hình.Ta có thể cấu hình cho các thiết bị Cisco gởi thông tin syslog đến 1

syslog server ở bên ngoài để có thể lưu trữ tập trung, trong trường hợp kết nối đến

syslog server bị ngắt thì toàn bộ thông tin về syslog của thiết bị sẽ được lưu trữ cục

bộ.

Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để

truyền dữ liệu. Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin

sau:

Facility(1): phân loại nguồn sinh ra syslog (ứng dụng, hệ điều hành, các tiến

trình..) Mặc định, thiết bị sử dụng Cisco IOS, CatOS switches, và VPN 3000

Concentrators sử dụng facility là local7 , trong khi đó Cisco PIX Firewalls sử

dụng local4 trong thông tin syslog.

Severity(2): Mức độ phát sinh ra các thông tin syslog được phân chia ra như sau:


Nhóm 10

0 Emergency: System is unusable.

1 Alert: Action must be taken immediately.

2 Critical: Critical conditions.

3 Error: Error conditions.

4 Warning: Warning conditions.

5 Notice: Normal but significant condition.

Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các vấn đề

liên quan các vấn đề về phần mềm và phần cứng. Tiến trình khởi động lại ,cổng

up/down thì được gởi với mức Notice. Hệ thống khởi động lại là mức Informational. Kết quả của lệnh debug là mức Debug. Hostname(3): Có thể là tên hoặc Ip của thiết bị sinh ra syslog Timestamp(4):Thời gian sinh ra syslog theo định dạng MMM DD HH:MM:SS

.Thời gian sinh ra syslog phải chính xác nên khi triển khai dịch vụ này ta thường

kết hợp với giao thức NTP(Network Time Protocol) để đồng bộ thông tin về thời

gian trên tất cả thiết bị .

Message(5): Nội dung Syslog

6

Informational:

Informational messages.

7 Debug: Debug-level messages.


Nhóm 10

Giao diện chương trình Kiwi Syslog

tỔng quan vỀ an ninh mẠng cisco

Documents