1 acl

8/6/2019 1 ACL

http://slidepdf.com/reader/full/1-acl 1/33

PART 1: Qun lý lung d liu bngAccess Control List

8/6/2019 1 ACL


TiTi saosao ss dngdng ACL?ACL?

Lc: Qun lý lung d liu b i c ch lc gói tin i qua R outer.

Phân loi: Xác nhn lung d liu cho nhng mc ích c th.

8/6/2019 1 ACL


ng ng dngdng caca ACL:ACL: BB lclc

Cho phé p hay t chi gói tin i qua R outer.

Cho phé p hay t chi liên kt ti hoc t cng vty.

Nu không có ACL, tt c gói tin có th bng qua h thng mng.

8/6/2019 1 ACL


ng ng dngdng caca AclAcl:: PhânPhân loiloi

y Phân loi lung d liu da trên quá trình kim tra gói tin.

8/6/2019 1 ACL


HotHot ngng caca ACL ACL chiuchiu rara

Gói tin i vàocng giao din

N

Y

Chn cng

NAccess

List

?

Có entry

trongBng route

?

Y

Cng ra

Gói tin

S0

Xô chanhng góitin b t

chi

8/6/2019 1 ACL



Cng ra

Gói tin

N

Y

Chn cng

Có entrytrongBng route

?N

Gói tin

Kim tra

ACL

Cho phép?

Y

AccessList

?

Y

S0

E0



chi

8/6/2019 1 ACL



y Nu không phù h p bt kì r ule nào ca ACL, gói tin b loi b ti

r ule cui cùng.

Cnh báo ngi gi

N

Y

Chn cng

Có entrytrong

Bng route

? N

Y

Kim traACL

Cho phép?

Y

Access

List

?

T chi gó

i tin

N

Cng ra

Gói tin

Gói tin

S0

E0


Xô chanhng góitin b t chi

8/6/2019 1 ACL


DanhDanh sáchsách cáccác bc bc kimkim tratra: Cho : Cho phé p phé p hay hay loiloi b b

Gói tin n cng theochiu access-group


Y

Cng giao din

im n

T chi

T chi

Y

Phù hp bckim

tra utiên

?

Cho phép

8/6/2019 1 ACL



Gói tin n cng theochiu access-group


Y

Cng giao din

im n

T chi

T chi

Y

Phù hp bckim

tra utiên

?

Cho phép

N

T chi Cho phépPhù hp bckim

tra tiptheo

?

YY

8/6/2019 1 ACL



Gói tin n cng theochiu access-group Y

Cng giao din

im n

T chi

T chi

Y

Phù hp bckim

tra utiên

?

Cho phép

N

T chi Cho phépPhù hp bc

kimtra tip

theo?

T chiPhù hp bc

kimtra cui

cùng?

YY

N

YY

Cho phép


chi

8/6/2019 1 ACL



Gói tin n cng theochiu access-group Y

Cng giao din

im n

T chi

Y

Phù hp bckim

tra utiên

?

Cho phép

N

T chi Cho phépPhù hp bc

kimtra tip

theo?

T chiPhù hp bc

kimtra cui

cùng?

YY

N

YY

Cho phép

Ng ýt chi

Nu không phù hpt chi tt c

T chi

N


chi

8/6/2019 1 ACL


PhânPhân loiloi ACLACL

Standard ACL

x K im tra a ch ngun

x Ch cho phé p hoc t chi toàn b b giao thc

Extended ACL

x K im tra a ch ngun và íchx Cho phé p hay t chi giao thc hay ng dng c th.

Hai phng pháp dùng xác nhn standard và extended ACLs:

x Num bered ACLs dùng mt s cho vic xác nhn

x Named ACLs dùng mt tên hay chui s cho vic xác nhn

8/6/2019 1 ACL


CáchCách thcthc xácxác nhnnhn ACLACL

Num bered standard IPv4 lists (1±99) kim tra iu kin cho tt c gói tin v a ch ngun. Dãy m r ng (1300±1999).

Num bered extended IPv4 lists (100±199) kim tra iu kin a chngun và ích, giao thc TCP/IP c th, và port ích. Dãy m r ng(2000±2699).

Named ACLs xác nhn IP standard and extended ACLs trong mt chui(tên).

8/6/2019 1 ACL


8/6/2019 1 ACL


HngHng dndn cucu hìnhhình ACLACL

Standard hoc extended ch ra cách thc cho b lc. Ch mt ACL cho mi cng, mi giao thc, và mi hng là

c cho phé p. Th t các phát biu ca ACL iu khin vic kim tra, do ó,

phát biu c kim tra u tiên s nm tr c tiên trong danh

sách. ACL cui cùng luôn luôn ng ý t chi tt c, vì th mi Acl cn

ít nht mt phát biu cho phé p. ACLs c áp vào cng theo chiu i ra hoc i vào. Mt ACL có th lc lung d liu i qua router, hoc lung d

liu n hay t router, tùy thuc vào cách nó c áp t. K hi trin khai ACL trong h thng mng:

x t extended ACLs gn vi ngunx t standard ACLs gn vi ích

8/6/2019 1 ACL


LnhLnh dùngdùng chocho ACLACL

y Step 1: Thit l p các bin cho Acl (có th mt hay vài bin)

Router(conf ig)#

access-list access-list-number { permit | deny } { test conditions }

8/6/2019 1 ACL


LnhLnh dùngdùng chocho ACLACL

y Step 1: Thit l p các bin cho Acl (có th mt hay vài bin)

Router(conf ig)#

access-list access-list-number { permit | deny } { test conditions }

Step 2: Áp ACL trên cng giao din

IP Access lists thuc dãy s t 1-99 hoc 100-199

{ p rotocol } access-group access-list-number {in | out}

Router(conf ig-if)#

8/6/2019 1 ACL


K imK im tratra góigói tin tin vivi Standard ACLStandard ACL

a ch ngun

Segment(ví d,TCP header)

D liuGói tin(IP header)

FrameHeader(ví d,HDLC)

T chn Cho phép

Dùngaccess

list statements1-99

8/6/2019 1 ACL


K imK im tratra góigói tin tin vivi Extended ACLExtended ACL

a ch ích

a ch ngun

Giao thc

S Port

Segment(ví d,TCP header)

D liuGói tin(IP header)

FrameHeader(ví d,HDLC)

Dùngaccess

list statements1-99 hoc 100-199

kim tragóiT chi Cho phép

y Mt ví d t gói tinTCP/IP

8/6/2019 1 ACL


Wildcard Bits:Wildcard Bits: CáchCách thcthc kimkim tratra bit bit tngtng ngng

0 ngha là kim tra bit tng ng 1 ngha là t chi giá tr bit tng ng

do not check addr ess

(ignor e bits in octet)

=0 0 1 1 1 1 1 1

128 64 32 16 8 4 2 1

=0 0 0 0 0 0 0 0

=0 0 0 0 1 1 1 1

=1 1 1 1 1 1 0 0

=1 1 1 1 1 1 1 1

Octet bit position and addr ess value f or bit

ignor e last 6 addr ess bits

check all addr ess bits

(match all)

ignor e last 4 addr ess bits

check last 2 addr ess bits

Examples

8/6/2019 1 ACL


Wildcard Bits Wildcard Bits phù phù h ph p chocho mtmt aa chchhost host cc thth

Ví d 172.30.16.29 0.0.0.0 kim tra tt c các a ch bit

Wildcard mask dùng a ch i tr c b i t khóa host (host 172.30.16.29)

iu kin kim tra: Kim tra tt c các bit (match all)

172.30.16.29

0.0.0.0(checks all bits)

Mt a ch IP host, ví d:

Wildcar d mask:

8/6/2019 1 ACL


Wildcard Bits Wildcard Bits phú phú h ph p bt bt kìkì aa chch

Ch p nhn bt kì a ch: 0.0.0.0 255.255.255.255 Nhn mnh vi t khóa any

iu kin kim tra: T chi tt c các bit (match any)

0.0.0.0

255.255.255.255(ignor e all)

Any IP addr ess

Wildcar d mask:

8/6/2019 1 ACL


Wildcard Bits Wildcard Bits phù phù h ph p subnetsubnet

Kim tra cho IP subnets 172.30.16.0/24 n 172.30.31.0/24

Networ k Networ k .host

172.30.16172.30.16.0

00 00 00 11 0 0 0 0 Wildcar d mask: 0 0 0 0 1 1 1 1

|<---- match ---->|<----- don·t car e ----->|0 0 0 1 0 0 0 0 = 16

0 0 0 1 0 0 0 1 = 17

0 0 0 1 0 0 1 0 = 18

: :

0 0 0 1 1 1 1 1 = 31

ac ch và wildcard mask :

172.30.16.0 0.0.15.255

8/6/2019 1 ACL


Dynamic ACLsDynamic ACLs

Dynamic ACLs (lock-and-key): Users mun i qua router thì b khóa

n khi nó dùng Telnet kt ni n router và xác thc

8/6/2019 1 ACL


R eflexive ACLsR eflexive ACLs

Reflexive ACLs: c dùng cho phé p lung d liu i ra và gii hn lung i vào trong phi là phn hi ca mt session bt ngun t bên trong.

8/6/2019 1 ACL


TimeTime--Based ACLsBased ACLs

Time-based ACLs: Cho pé p iu khin tr uy nh p da trên thi gian

ca ngày và tun

8/6/2019 1 ACL


Standard .Standard .vsvs Extended ACLExtended ACL

Standard Extended

Lc da trên ngun. Ngun và ích

Cho phép hay t chi toàn b b giao thc

Mt giao thc hay port cth

Dãy s t 100 n 199.Dãy s t 1 n 99

8/6/2019 1 ACL


� Cho phép ch mt mng

access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)

interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out

Standard IP Access ListV íd1

Standard IP Access ListV íd1

172.16.3.0 172.16.4.0

172.16.4.13E0

S0

E1

Non-

172.16.0.0

8/6/2019 1 ACL


Standard IP Access List Standard IP Access List VíVí dd 22

172.16.3.0 172.16.4.0

172.16.4.13E0

S0

E1

Non-

172.16.0.0

T chi mt host c th

access-list 1 deny 172.16.4.13 0.0.0.0access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)

(access-list 1 deny 0.0.0.0 255.255.255.255)

8/6/2019 1 ACL


access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any

(implicit deny all)(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)

interface ethernet 0ip access-group 101 out

T chi FTP t subnet 172.16.4.0 n subnet 172.16.3.0 ra ngài E0 Cho phé p tt c lung d liu khác

Extended Access List Extended Access List VíVí dd 11

172.16.3.0 172.16.4.0

172.16.4.13E0

S0

E1

Non-

172.16.0.0

8/6/2019 1 ACL


access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any(implicit deny all)

interface ethernet 0ip access-group 101 out

T chi Telnet t subnet 172.16.4.0 ra khi E0 Cho phé p tt c lung còn li

Extended Access List Extended Access List VíVí dd 22

172.16.3.0 172.16.4.0

172.16.4.13E0

S0

E1

Non-

172.16.0.0

8/6/2019 1 ACL


TngTng ktkt

ACLs có th c dùng lc gói tin hoc phân loi lung dliu cho nhng mc ích c th.

ACLs thc thi tin trình x lý t trên xung và c cu hìnhcho lung d liu i vào hoc i ra.

Có th to mt ACL dùng mt tên hoc s. Named hocnum bered ACLs có th c cu hình nh standard hay extended ACLs.

R eflexive, dynamic, và time-based ACLs thêm nhiu tính nngcho standard và extended ACLs.

Tong mt wildcard bit mask, mt bit 0 ngha là phù h p vi bit tng ng và bit 1 ngha là t chi bit tng ng.

8/6/2019 1 ACL


1 acl

Documents