Bài giảng Công nghệ wan và bảo mật

Chương 4: Công nghệ WAN và bảo mật Page | 1 GIÁO TRÌNH CCNA CHƯƠNG 4: CÔNG NGHỆ WAN VÀ BẢO MẬT Chương 4: Công nghệ WAN và bảo mật Page | 2 CHỦ ĐỀ PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List .......................... 11 I. Giới thiệu chung ............................................................................... 11 II. Hoạt động của ACL ......................................................................... 11 1. Tìm hiểu về ACL ........................................................................ 12 2. Hoạt động của ACL .................................................................... 15 3. Phân loại ACL ............................................................................ 19 4. Xác định ACL ............................................................................. 19 5. ACL wildcard masking ............................................................... 21 III. Cấu hình ACL .................................................................................. 24 1. Cấu hình numbered standard IPv4 ACL ...................................... 25 2. Cấu hình numbered extended IPv4 ACL ..................................... 26 3. Cấu hình named ACL ................................................................. 28 3.1 Khởi tạo named standard ACL ............................................... 28 3.2 Khởi tạo named extended ACL .............................................. 28 4. Thêm phần ghi chú cho Named hay Numbered ACLs ................ 31 IV. Các lệnh kiểm tra trong ACL ........................................................... 32 V. Các loại khác của ACL .................................................................... 32 1. Dynamic ACL ............................................................................. 33 2. Reflexive ACL ............................................................................ 35 3. Time-based ACL ........................................................................ 37 VI. Ghi chú khi sử dụng Wildcard Masks .............................................. 38 VII. Giải quyết sự cố trong ACL ............................................................. 41 Chương 4: Công nghệ WAN và bảo mật Page | 3 PART 2: Mở rộng quy mô mạng với NAT và PAT ..................................... 45 I. Giới thiệu về NAT và PAT .............................................................. 45 1. Biên dịch địa chỉ nguồn bên trong ............................................... 48 2. Cơ chế NAT tĩnh ......................................................................... 51 3. Cơ chế NAT động ....................................................................... 52 4. Overloading một địa chỉ toàn cục bên trong ................................ 53 II. Giải quyết vấn đề bảng dịch ............................................................. 56 III. Giải quyết sự cố với NAT ................................................................ 57 PART 3: Giải pháp VPN .............................................................................. 62 I. Giới thiệu về giải pháp VPN ............................................................ 62 1. VPN và những lợi thế ................................................................. 62 2. Các loại VPN .............................................................................. 64 3. IPsec SSL VPN (WebVPN) ........................................................ 69 II. Giới thiệu IPsec ............................................................................... 70 PHẦN 4: Thiết lập kết nối WAN với PPP ................................................... 77 I. Hiểu biết về đóng gói trong WAN ................................................... 77 II. Xác thực PPP ................................................................................... 80 1. Tổng quan về PPP ....................................................................... 80 2. Vùng giao thức của PPP .............................................................. 80 3. Giao thức điều khiển liên kết ...................................................... 81 3.1 Phát hiện liên kết lặp .............................................................. 81 3.2 Tăng cường khả năng phát hiện sự cố .................................... 82 3.3 PPP Multilink ........................................................................ 82 3.4 Xác thực PPP ......................................................................... 83 Chương 4: Công nghệ WAN và bảo mật Page | 4 III. Cấu hình và kiểm tra PPP ................................................................ 86 IV. Giải quyết sự cố trong xác thực PPP ................................................ 89 1. Giải quyết các vấn đề ở lớp 2 ...................................................... 89 2. Giải quyết các vấn đề ở lớp 3 ...................................................... 92 PART 5: Giới thiệu về công nghệ Frame Relay ........................................... 94 I. Cấu hình chung mạng Frame Relay ................................................. 94 II. Tổng quan về Frame Relay .............................................................. 95 1. Các tiêu chuẩn của Frame Relay ................................................. 98 2. Mạch ảo ...................................................................................... 98 3. LMI và các loại đóng gói .......................................................... 101 III. Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay .............. 104 1. FECN và BECN ........................................................................ 104 2. Các Loại bỏ điều kiện (DE bit) .................................................. 105 IV. Cấu hình và kiểm tra Frame Relay ................................................. 106 1. Kế hoạch cho một cấu hình Frame Relay .................................. 106 2. Một mạng với đầy đủ meshed với một IP Subnet ...................... 108 3. Cấu hình đóng gói và LMI ........................................................ 109 4. Map địa chỉ Frame Relay .......................................................... 113 4.1 Inverse ARP ......................................................................... 113 4.2 Map tĩnh Frame Relay ......................................................... 113 V. Xử lý sự cố với mạng Frame Relay ................................................ 114 PHẦN 6: Tổng quan về IPv6 ...................................................................... 127 I. Khái quát chung ............................................................................. 127 Chương 4: Công nghệ WAN và bảo mật Page | 5 II. Cách thức viết địa chỉ Ipv6 ............................................................. 127 III. Phương thức gán địa chỉ Ipv6 ......................................................... 130 IV. Cấu trúc địa chỉ IPv6 ...................................................................... 130 1. Địa chỉ Unicast ......................................................................... 131 2. Địa chỉ Anycast ......................................................................... 133 3. Địa chỉ Multicast ....................................................................... 134 V. Gán địa chỉ IPv6 cho cổng giao diện .............................................. 136 1. Cấu hình thủ công cổng giao diện ............................................. 136 2. Gán địa chỉ bằng EUI-64 .......................................................... 136 3. Cấu hình tự động ....................................................................... 137 4. DHCPv6 (Stateful) .................................................................... 138 5. Dùng dạng EUI-64 trong địa chỉ IPv6 ....................................... 138 VI. Xem xét định tuyến với IPv6 ......................................................... 139 VII. Chiến lược để thực hiện IPv6 ......................................................... 139 VIII. Cấu hình IPv6 ................................................................................ 143 PHẦN 7: Các bài lab minh họa .................................................................. 146 1. Cấu hình Standard Access List ................................................. 146 2. Cấu hình extended Access List ................................................. 151 3. Cấu hình NAT tĩnh ................................................................... 156 4. Cấu hình NAT overload ............................................................ 159 5. Cấu hình PPP PAP và CHAP .................................................... 163 6. Cấu hình FRAME RELAY ....................................................... 169 7. Cấu hình FRAME RELAY SUBINTERFACE ......................... 176 Chương 4: Công nghệ WAN và bảo mật Page | 6 Phụ lục về các hình sử dụng trong tài liệu PART 1: Quản lý luồng dữ liệu bằng ACL ...................................................... 11 Hình 1-1: Kiểm soát lưu lượng bằng Access Control List ................................. 13 Hình 1-2: Bộ lọc của Access Control List ......................................................... 13 Hình 1-3: ACL xác định luồng dữ liệu .............................................................. 15 Hình 1-4: Ví dụ của một outbound ACL ........................................................... 16 Hình 1-5: Sự đánh giá của ACL ........................................................................ 18 Hình 1-6: Wildcard mask .................................................................................. 22 Hình 1-7: Masking một dãy địa chỉ ................................................................... 23 Hình 1-8: Trường hợp đặc biệt của Wildcard Mask .......................................... 24 Hình 1-9: Standard ACL ................................................................................... 25 Hình 1-10: Extended ACL ................................................................................ 26 Hình 1-11: Dynamic ACL ................................................................................. 33 Hình 1-12: Reflexive ACL ................................................................................ 36 Hình 1-13: Time-based ACL ............................................................................. 37 PART 2: Mở rộng quy mô mạng với NAT và PAT ........................................... 45 Hình 2-1: Network Address Translations .......................................................... 46 Hình 2-2: Port Address Translation ................................................................... 48 Hình 2-3: Biên dịch một địa chỉ với NAT ......................................................... 49 Hình 2-4: NAT tĩnh ........................................................................................... 51 Hình 2-5: NAT động ......................................................................................... 53 Hình 2-6: Overloading một địa chỉ toàn cục bên trong ...................................... 54 Chương 4: Công nghệ WAN và bảo mật Page | 7 PART 3: Giải pháp VPN ................................................................................... 62 Hình 3-1: Các ví dụ về kết nối VPN .................................................................. 63 Hình 3-2: Kết nối site-to-site VPN .................................................................... 64 Hình 3-3: Minh họa về kết nối remote-access VPN ........................................... 65 Hình 3-4: Cisco Easy VPN ............................................................................... 66 Hình 3-5: WebVPN .......................................................................................... 69 Hình 3-6: Cách thức sử dụng khác nhau của IPsec ............................................ 70 Hình 3-7: Mã hóa dữ liệu .................................................................................. 71 Hình 3-8: Mã hóa key ....................................................................................... 72 Hình 3-9: Thiết lập quá trình mã hóa key .......................................................... 73 Hình 3-10: Xác thực peer .................................................................................. 75 PHẦN 4: Thiết lập kết nối WAN với PPP ........................................................ 77 Hình 4-1: Các lựa chọn cho mạng WAN ........................................................... 78 Hình 4-2: Khung PPP và HDLC ....................................................................... 81 Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP ............................ 83 Hình 4-4: NCP và LCP trong PPP ..................................................................... 83 Hình 4-5: Chứng thực PAP ............................................................................... 85 Hình 4-6: Chứng thực CHAP ............................................................................ 86 PART 5: Giới thiệu về công nghệ Frame Relay ................................................ 94 Hình 5-1: Mạng Frame Relay ............................................................................ 94 Hình 5-2: Các thành phần của mạng Frame Relay ............................................ 96 Chương 4: Công nghệ WAN và bảo mật Page | 8 Hình 5-3: Khái niệm về Frame Relay PVC ....................................................... 96 Hình 5-4: Mạng Frame Relay thông thường với ba site ..................................... 99 Hình 5-5: Mạng Frame Relay dười dạng partial-mesh .................................... 100 Hình 5-6: LAPF Header .................................................................................. 102 Hình 5-7: Đóng gói Cisco và RFC 1490/2427 .................................................. 103 Hình 5-8: Hoạt động cơ bản của FECN và BECN ........................................... 105 Hình 5-9: Full mesh với nhiều địa chỉ IP ......................................................... 108 Hình 5-10: Tiến trình làm việc của Inverse ARP ............................................. 113 Hình 5-11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 .. 118 Hình 5-12: Kết quả của việc shut down liên kết R2 và R3 .............................. 124 PHẦN 6: Tổng quan về IPv6 ........................................................................... 127 Hình 6-1: Cấu trúc địa chỉ của Link-local ....................................................... 131 Hình 6-2: Cấu trúc địa chỉ của Site-local ......................................................... 131 Hình 6-3: Cấu trúc địa chỉ IPX ........................................................................ 132 Hình 6-4: Cấu trức địa chỉ IPv4 tương thích với IPv6 ..................................... 132 Hình 6-5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 ...................................................... 133 Hình 6-6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu .............................. 133 Hình 6-7: Cấu trúc địa chỉ Anycast ................................................................. 133 Hình 6-8: Cấu trúc địa chỉ đa hướng ............................................................... 134 Hình 6-9: Cấu trúc địa chỉ MAC của LAN ...................................................... 134 Hình 6-10: Tâp hợp các địa chỉ IPv6 ................................................................ 135 Hình 6-11: Tự động cấu hình .......................................................................... 137 Chương 4: Công nghệ WAN và bảo mật Page | 9 Hình 6-12: Giao diện nhận diện EUI-64........................................................... 138 Hình 6-13: Sự chuyển đổi IPv4 đến IPv6 ........................................................ 140 Hình 6-14: Cisco IOS Dual Stack ................................................................... 141 Hình 6-15: Cấu hình Dual-Stack ..................................................................... 141 Hình 6-16: Các yêu cầu của đường hầm IPv6 .................................................. 142 Hình 6-17: Ví dụ cấu hình RIPng .................................................................... 143 Chương 4: Công nghệ WAN và bảo mật Page | 10 Phụ lục về các bảng sử dụng trong tài liệu Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức ....................... 20 Bảng 2: Well-known port number và các giao thức .............................................. 27 Bảng 3: Các tham số cho cấu hình numbered extended ACL ............................... 27 Bảng 4: Các khái niệm về Frame Relay ............................................................... 97 Bảng 5: Các giao thức Frame Relay ..................................................................... 98 Bảng 6: Các loại LMI ........................................................................................ 102 Bảng 7: Các giá trị trạng thái của PVC ............................................................... 122 Chương 4: Công nghệ WAN và bảo mật Page | 11 PART 1: Quản lý luồng dữ liệu bằng ACL I - Giới thiệu chung: Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo mật là Access Control List (ACL). Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy cập vào một địa chỉ nào đó. Access List có 2 loại là Standard Access List và Extended Access List: Standard Access List: đây là loại danh sách truy cập mà khi cho phép hay ngăn cản việc truy cập, Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ nguồn (Source Address). Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với loại Standard, các yếu tố về địa chị nguồn (Source Address), địa chỉ đích (Destination Address), giao thức, port… sẽ được kiểm tra trước khi Router cho phép việc truy cập hay ngăn cản. Bạn cũng có thể cấu hình Standard và Extended của Cisco IOS ACL trên trên các cổng (interfaces) của Router cho việc kiểm soát truy cập để kiểm soát các loại lưu lượng được phép thông qua. Các tính năng của Cisco IOS được áp dụng vào các cổng giao diện theo những hướng cụ thể (chiều dữ liệu vào với chiều dữ liệu đi ra). Phần này sẽ mô tả hoạt động của các loại khác nhau của ACL và cho bạn thấy làm thế nào để cấu hình IP phiên bản 4 (IPv4) ACL. II - Hoạt động của ACL: Tìm hiểu về việc sử dụng danh sách kiểm soát truy cập (ACL) cho phép bạn xác định làm thế nào để thực hiện chúng trên mạng Cisco của bạn. ACL có thể cung cấp một tính năng an ninh mạng quan trọng và lọc các gói tin vào và ra các cổng giao diện của router. Phần này mô tả một số ứng dụng cho ACL trên các mạng Cisco, xác định các loại khác nhau của ACL có thể được thực hiện, và giải thích các quy trình Cisco IOS software thực thi ACL. Chương 4: Công nghệ WAN và bảo mật Page | 12 1. Tìm biết về ACL: Để có thể cấu hình và thực hiện các ACL, bạn cần phải hiểu được năng lực của chúng được sử dụng. Thiết bị Cisco sử dụng ACL vào hai chức năng chính: phân loại và lọc. Sau đây giải thích mỗi chức năng:  Phân loại (Classification): Thiết bị định tuyến cũng sử dụng ACL để xác định luồng dữ liệu truy cập cụ thể. Sau khi một ACL đã xác định và phân loại luồng truy cập, bạn có thể cấu hình router về cách xử lý các luồng dữ liệu. Ví dụ, bạn có thể sử dụng một ACL để xác định các mạng con điều hành (subnet) như là nguồn lưu lượng truy cập (traffic