Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo mật là Access Control List (ACL). Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy cập vào một địa chỉ nào đó.
183 trang |
Chia sẻ: vietpd | Lượt xem: 2504 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Bài giảng Công nghệ wan và bảo mật, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Chương 4: Công nghệ WAN và bảo mật
Page | 1
GIÁO TRÌNH CCNA
CHƯƠNG 4: CÔNG NGHỆ
WAN VÀ BẢO MẬT
Chương 4: Công nghệ WAN và bảo mật
Page | 2
CHỦ ĐỀ
PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List .......................... 11
I. Giới thiệu chung ............................................................................... 11
II. Hoạt động của ACL ......................................................................... 11
1. Tìm hiểu về ACL ........................................................................ 12
2. Hoạt động của ACL .................................................................... 15
3. Phân loại ACL ............................................................................ 19
4. Xác định ACL ............................................................................. 19
5. ACL wildcard masking ............................................................... 21
III. Cấu hình ACL .................................................................................. 24
1. Cấu hình numbered standard IPv4 ACL ...................................... 25
2. Cấu hình numbered extended IPv4 ACL ..................................... 26
3. Cấu hình named ACL ................................................................. 28
3.1 Khởi tạo named standard ACL ............................................... 28
3.2 Khởi tạo named extended ACL .............................................. 28
4. Thêm phần ghi chú cho Named hay Numbered ACLs ................ 31
IV. Các lệnh kiểm tra trong ACL ........................................................... 32
V. Các loại khác của ACL .................................................................... 32
1. Dynamic ACL ............................................................................. 33
2. Reflexive ACL ............................................................................ 35
3. Time-based ACL ........................................................................ 37
VI. Ghi chú khi sử dụng Wildcard Masks .............................................. 38
VII. Giải quyết sự cố trong ACL ............................................................. 41
Chương 4: Công nghệ WAN và bảo mật
Page | 3
PART 2: Mở rộng quy mô mạng với NAT và PAT ..................................... 45
I. Giới thiệu về NAT và PAT .............................................................. 45
1. Biên dịch địa chỉ nguồn bên trong ............................................... 48
2. Cơ chế NAT tĩnh ......................................................................... 51
3. Cơ chế NAT động ....................................................................... 52
4. Overloading một địa chỉ toàn cục bên trong ................................ 53
II. Giải quyết vấn đề bảng dịch ............................................................. 56
III. Giải quyết sự cố với NAT ................................................................ 57
PART 3: Giải pháp VPN .............................................................................. 62
I. Giới thiệu về giải pháp VPN ............................................................ 62
1. VPN và những lợi thế ................................................................. 62
2. Các loại VPN .............................................................................. 64
3. IPsec SSL VPN (WebVPN) ........................................................ 69
II. Giới thiệu IPsec ............................................................................... 70
PHẦN 4: Thiết lập kết nối WAN với PPP ................................................... 77
I. Hiểu biết về đóng gói trong WAN ................................................... 77
II. Xác thực PPP ................................................................................... 80
1. Tổng quan về PPP ....................................................................... 80
2. Vùng giao thức của PPP .............................................................. 80
3. Giao thức điều khiển liên kết ...................................................... 81
3.1 Phát hiện liên kết lặp .............................................................. 81
3.2 Tăng cường khả năng phát hiện sự cố .................................... 82
3.3 PPP Multilink ........................................................................ 82
3.4 Xác thực PPP ......................................................................... 83
Chương 4: Công nghệ WAN và bảo mật
Page | 4
III. Cấu hình và kiểm tra PPP ................................................................ 86
IV. Giải quyết sự cố trong xác thực PPP ................................................ 89
1. Giải quyết các vấn đề ở lớp 2 ...................................................... 89
2. Giải quyết các vấn đề ở lớp 3 ...................................................... 92
PART 5: Giới thiệu về công nghệ Frame Relay ........................................... 94
I. Cấu hình chung mạng Frame Relay ................................................. 94
II. Tổng quan về Frame Relay .............................................................. 95
1. Các tiêu chuẩn của Frame Relay ................................................. 98
2. Mạch ảo ...................................................................................... 98
3. LMI và các loại đóng gói .......................................................... 101
III. Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay .............. 104
1. FECN và BECN ........................................................................ 104
2. Các Loại bỏ điều kiện (DE bit) .................................................. 105
IV. Cấu hình và kiểm tra Frame Relay ................................................. 106
1. Kế hoạch cho một cấu hình Frame Relay .................................. 106
2. Một mạng với đầy đủ meshed với một IP Subnet ...................... 108
3. Cấu hình đóng gói và LMI ........................................................ 109
4. Map địa chỉ Frame Relay .......................................................... 113
4.1 Inverse ARP ......................................................................... 113
4.2 Map tĩnh Frame Relay ......................................................... 113
V. Xử lý sự cố với mạng Frame Relay ................................................ 114
PHẦN 6: Tổng quan về IPv6 ...................................................................... 127
I. Khái quát chung ............................................................................. 127
Chương 4: Công nghệ WAN và bảo mật
Page | 5
II. Cách thức viết địa chỉ Ipv6 ............................................................. 127
III. Phương thức gán địa chỉ Ipv6 ......................................................... 130
IV. Cấu trúc địa chỉ IPv6 ...................................................................... 130
1. Địa chỉ Unicast ......................................................................... 131
2. Địa chỉ Anycast ......................................................................... 133
3. Địa chỉ Multicast ....................................................................... 134
V. Gán địa chỉ IPv6 cho cổng giao diện .............................................. 136
1. Cấu hình thủ công cổng giao diện ............................................. 136
2. Gán địa chỉ bằng EUI-64 .......................................................... 136
3. Cấu hình tự động ....................................................................... 137
4. DHCPv6 (Stateful) .................................................................... 138
5. Dùng dạng EUI-64 trong địa chỉ IPv6 ....................................... 138
VI. Xem xét định tuyến với IPv6 ......................................................... 139
VII. Chiến lược để thực hiện IPv6 ......................................................... 139
VIII. Cấu hình IPv6 ................................................................................ 143
PHẦN 7: Các bài lab minh họa .................................................................. 146
1. Cấu hình Standard Access List ................................................. 146
2. Cấu hình extended Access List ................................................. 151
3. Cấu hình NAT tĩnh ................................................................... 156
4. Cấu hình NAT overload ............................................................ 159
5. Cấu hình PPP PAP và CHAP .................................................... 163
6. Cấu hình FRAME RELAY ....................................................... 169
7. Cấu hình FRAME RELAY SUBINTERFACE ......................... 176
Chương 4: Công nghệ WAN và bảo mật
Page | 6
Phụ lục về các hình sử dụng trong tài liệu
PART 1: Quản lý luồng dữ liệu bằng ACL ...................................................... 11
Hình 1-1: Kiểm soát lưu lượng bằng Access Control List ................................. 13
Hình 1-2: Bộ lọc của Access Control List ......................................................... 13
Hình 1-3: ACL xác định luồng dữ liệu .............................................................. 15
Hình 1-4: Ví dụ của một outbound ACL ........................................................... 16
Hình 1-5: Sự đánh giá của ACL ........................................................................ 18
Hình 1-6: Wildcard mask .................................................................................. 22
Hình 1-7: Masking một dãy địa chỉ ................................................................... 23
Hình 1-8: Trường hợp đặc biệt của Wildcard Mask .......................................... 24
Hình 1-9: Standard ACL ................................................................................... 25
Hình 1-10: Extended ACL ................................................................................ 26
Hình 1-11: Dynamic ACL ................................................................................. 33
Hình 1-12: Reflexive ACL ................................................................................ 36
Hình 1-13: Time-based ACL ............................................................................. 37
PART 2: Mở rộng quy mô mạng với NAT và PAT ........................................... 45
Hình 2-1: Network Address Translations .......................................................... 46
Hình 2-2: Port Address Translation ................................................................... 48
Hình 2-3: Biên dịch một địa chỉ với NAT ......................................................... 49
Hình 2-4: NAT tĩnh ........................................................................................... 51
Hình 2-5: NAT động ......................................................................................... 53
Hình 2-6: Overloading một địa chỉ toàn cục bên trong ...................................... 54
Chương 4: Công nghệ WAN và bảo mật
Page | 7
PART 3: Giải pháp VPN ................................................................................... 62
Hình 3-1: Các ví dụ về kết nối VPN .................................................................. 63
Hình 3-2: Kết nối site-to-site VPN .................................................................... 64
Hình 3-3: Minh họa về kết nối remote-access VPN ........................................... 65
Hình 3-4: Cisco Easy VPN ............................................................................... 66
Hình 3-5: WebVPN .......................................................................................... 69
Hình 3-6: Cách thức sử dụng khác nhau của IPsec ............................................ 70
Hình 3-7: Mã hóa dữ liệu .................................................................................. 71
Hình 3-8: Mã hóa key ....................................................................................... 72
Hình 3-9: Thiết lập quá trình mã hóa key .......................................................... 73
Hình 3-10: Xác thực peer .................................................................................. 75
PHẦN 4: Thiết lập kết nối WAN với PPP ........................................................ 77
Hình 4-1: Các lựa chọn cho mạng WAN ........................................................... 78
Hình 4-2: Khung PPP và HDLC ....................................................................... 81
Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP ............................ 83
Hình 4-4: NCP và LCP trong PPP ..................................................................... 83
Hình 4-5: Chứng thực PAP ............................................................................... 85
Hình 4-6: Chứng thực CHAP ............................................................................ 86
PART 5: Giới thiệu về công nghệ Frame Relay ................................................ 94
Hình 5-1: Mạng Frame Relay ............................................................................ 94
Hình 5-2: Các thành phần của mạng Frame Relay ............................................ 96
Chương 4: Công nghệ WAN và bảo mật
Page | 8
Hình 5-3: Khái niệm về Frame Relay PVC ....................................................... 96
Hình 5-4: Mạng Frame Relay thông thường với ba site ..................................... 99
Hình 5-5: Mạng Frame Relay dười dạng partial-mesh .................................... 100
Hình 5-6: LAPF Header .................................................................................. 102
Hình 5-7: Đóng gói Cisco và RFC 1490/2427 .................................................. 103
Hình 5-8: Hoạt động cơ bản của FECN và BECN ........................................... 105
Hình 5-9: Full mesh với nhiều địa chỉ IP ......................................................... 108
Hình 5-10: Tiến trình làm việc của Inverse ARP ............................................. 113
Hình 5-11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 .. 118
Hình 5-12: Kết quả của việc shut down liên kết R2 và R3 .............................. 124
PHẦN 6: Tổng quan về IPv6 ........................................................................... 127
Hình 6-1: Cấu trúc địa chỉ của Link-local ....................................................... 131
Hình 6-2: Cấu trúc địa chỉ của Site-local ......................................................... 131
Hình 6-3: Cấu trúc địa chỉ IPX ........................................................................ 132
Hình 6-4: Cấu trức địa chỉ IPv4 tương thích với IPv6 ..................................... 132
Hình 6-5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 ...................................................... 133
Hình 6-6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu .............................. 133
Hình 6-7: Cấu trúc địa chỉ Anycast ................................................................. 133
Hình 6-8: Cấu trúc địa chỉ đa hướng ............................................................... 134
Hình 6-9: Cấu trúc địa chỉ MAC của LAN ...................................................... 134
Hình 6-10: Tâp hợp các địa chỉ IPv6 ................................................................ 135
Hình 6-11: Tự động cấu hình .......................................................................... 137
Chương 4: Công nghệ WAN và bảo mật
Page | 9
Hình 6-12: Giao diện nhận diện EUI-64........................................................... 138
Hình 6-13: Sự chuyển đổi IPv4 đến IPv6 ........................................................ 140
Hình 6-14: Cisco IOS Dual Stack ................................................................... 141
Hình 6-15: Cấu hình Dual-Stack ..................................................................... 141
Hình 6-16: Các yêu cầu của đường hầm IPv6 .................................................. 142
Hình 6-17: Ví dụ cấu hình RIPng .................................................................... 143
Chương 4: Công nghệ WAN và bảo mật
Page | 10
Phụ lục về các bảng sử dụng trong tài liệu
Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức ....................... 20
Bảng 2: Well-known port number và các giao thức .............................................. 27
Bảng 3: Các tham số cho cấu hình numbered extended ACL ............................... 27
Bảng 4: Các khái niệm về Frame Relay ............................................................... 97
Bảng 5: Các giao thức Frame Relay ..................................................................... 98
Bảng 6: Các loại LMI ........................................................................................ 102
Bảng 7: Các giá trị trạng thái của PVC ............................................................... 122
Chương 4: Công nghệ WAN và bảo mật
Page | 11
PART 1: Quản lý luồng dữ liệu bằng ACL
I - Giới thiệu chung:
Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng
là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy
bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong
những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo
mật là Access Control List (ACL). Đây là một tính năng giúp bạn có thể cấu
hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho
phép hay ngăn cản việc truy cập vào một địa chỉ nào đó.
Access List có 2 loại là Standard Access List và Extended Access List:
Standard Access List: đây là loại danh sách truy cập mà khi cho phép
hay ngăn cản việc truy cập, Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ
nguồn (Source Address).
Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với
loại Standard, các yếu tố về địa chị nguồn (Source Address), địa chỉ đích
(Destination Address), giao thức, port… sẽ được kiểm tra trước khi Router cho
phép việc truy cập hay ngăn cản.
Bạn cũng có thể cấu hình Standard và Extended của Cisco IOS ACL trên
trên các cổng (interfaces) của Router cho việc kiểm soát truy cập để kiểm soát
các loại lưu lượng được phép thông qua. Các tính năng của Cisco IOS được áp
dụng vào các cổng giao diện theo những hướng cụ thể (chiều dữ liệu vào với
chiều dữ liệu đi ra). Phần này sẽ mô tả hoạt động của các loại khác nhau của
ACL và cho bạn thấy làm thế nào để cấu hình IP phiên bản 4 (IPv4) ACL.
II - Hoạt động của ACL:
Tìm hiểu về việc sử dụng danh sách kiểm soát truy cập (ACL) cho phép
bạn xác định làm thế nào để thực hiện chúng trên mạng Cisco của bạn. ACL có
thể cung cấp một tính năng an ninh mạng quan trọng và lọc các gói tin vào và ra
các cổng giao diện của router.
Phần này mô tả một số ứng dụng cho ACL trên các mạng Cisco, xác định
các loại khác nhau của ACL có thể được thực hiện, và giải thích các quy trình
Cisco IOS software thực thi ACL.
Chương 4: Công nghệ WAN và bảo mật
Page | 12
1. Tìm biết về ACL:
Để có thể cấu hình và thực hiện các ACL, bạn cần phải hiểu được năng
lực của chúng được sử dụng. Thiết bị Cisco sử dụng ACL vào hai chức năng
chính: phân loại và lọc. Sau đây giải thích mỗi chức năng:
Phân loại (Classification): Thiết bị định tuyến cũng sử dụng ACL để
xác định luồng dữ liệu truy cập cụ thể. Sau khi một ACL đã xác định và
phân loại luồng truy cập, bạn có thể cấu hình router về cách xử lý các
luồng dữ liệu. Ví dụ, bạn có thể sử dụng một ACL để xác định các mạng
con điều hành (subnet) như là nguồn lưu lượng truy cập (traffic