Professional Documents
Culture Documents
Access - List NAT
Access - List NAT
NAT
GIỚI THIỆU ACL
• Xác định được vai trò, nguyên tắc hoạt động của
ACL trong hệ thống mạng
Các loại khác: Bên cạnh 2 loại ACL chính nói đã đến ở trên,
còn nhiều loại ACL khác có thể được sử dụng trong nhiều
tình huống khác nhau như: Reflexive ACL, Dynamic ACL,
Timed based ACL,...
KHÁI NIỆM WILDCARD MASK
• “Wildcard mask” có 32 bit, chia thành 4 phần, mỗi phần có 8 bit,
là tham số được dùng xác định các bit nào sẽ được bỏ qua hay
buộc phải so trùng trong việc kiểm tra điều kiện. Bit ‘1’ trong
“wildcard mask” có nghĩa là bỏ qua vị trí bit đó khi so
sánh, và bit ‘0’ xác định vị trí bit đó phải giống nhau.
• Với Standard ACL, nếu không thêm “wildcard-mask”
trong câu lệnh tạo ACL thì mặc định “wildcard-mask” sẽ là
0.0.0.0
• Mặc dù “Wildcard mask” có cấu trúc 32 bit giống với
“Subnet mask” nhưng chúng hoạt động khác nhau.
• Các bit 0 và 1 trong một “Subnet mask” xác định phần
“Network” và phần “Host” trong một địa chỉ IP.
• Các bit 0 và 1 trong một “wildcard-mask” xác định bit
nào sẽ được kiểm tra hay bỏ qua cho mục đích điều
khiển truy cập.
KHÁI NIỆM WILDCARD HOST
Wildcard “host”
“Wildcard mask” dùng cho một thiết bị hay còn gọi là
“wildcard-host” có dạng: 0.0.0.0 (kiểm tra tất cả các bit)
Ví dụ: 172.30.16.29 0.0.0.0
Ý nghĩa: khi kiểm tra ACL, nó sẽ kiểm tra tất cả các bit trong
địa chỉ dùng để so khớp.
“Wildcard mask” cho một thiết bị có thể được đại diện bằng từ
khóa “host”
Ví dụ: host 172.30.26.29
Câu lệnh ACL cho phép một thiết bị như sau:
R(config)#access-list 1 permit 172.30.16.29 0.0.0.0
hoặc:
R(config)#access-list 1 permit host 172.30.16.29
KHÁI NIỆM WILDCARD ANY
Wildcard “any”
Wildcard mask cho tất cả các thiết bị được gọi là wildcard “any”
có dạng: 255.255.255.255 (không kiểm tra tất cả các bit)
Ý nghĩa: chấp nhận tất cả các địa chỉ “Wildcard mask” dùng cho
tất cả các thiết bị có thể đại diện bằng từ khoá “any”
Ví dụ:
R(config)#access-list 1 permit 0.0.0.0 255.255.255.255
hoặc:
R(config)#access-list 1 permit any
Ví dụ
Access – list chỉ cho phép VLAN 10 của chi nhánh R1 được truy nhập đến VLAN 20 của chi nhánh R2
Trên VLAN 10 R1, thực hiện đặt một số server nội bộ FTP, HTTP và DNS. Các
server này chỉ dành cho các user thuộc VLAN 20 sử dụng. Cấu hình access – list trên
R1 để đảm bảo yêu cầu này.
Yêu cầu:
• Cấu hình R1 chỉ cho phép các user thuộc VLAN 20 truy nhập đến các server FTP,
HTTP và DNS thuộc VLAN 10.
• FTP server của VLAN 10 chỉ sử dụng hình thức Active FTP.
• Cấu hình trên R1 phải cho phép cả DNS Zone – transfer với truy nhập DNS.
Ví dụ Extended ACL
Ví dụ Extended ACL
R1(config)#interface s0/0/0
R1(config-if)#ip access-group VLAN10 in
Kiểm tra
R1#sh access-lists
R1#show ip interface s0/0/0 | include access list
R1(Config)#ip access-list extended VLAN10
R1(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 80
R1(config-ext-nacl)#permit udp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 53
R1(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 53
R1(config-ext-nacl)#permit 88 any any
R1(config-ext-nacl)#permit icmp any 192.168.10.0 0.0.0.255 echo-reply
R1(config-ext-nacl)#permit icmp any 192.168.10.0 0.0.0.255 time-exceeded
R1(config-ext-nacl)#permit icmp any 192.168.10.0 0.0.0.255 port-unreachable
R1(config-ext-nacl)#permit icmp any 192.168.10.0 0.0.0.255 packet-too-big
R1(config-ext-nacl)# deny ip any any log
GIỚI THIỆU VỀ NAT
Chương này trình bày một số đặc điểm của NAT, phân
loại và cấu hình trên thiết bị Cisco. Học xong chương
này, người học có khả năng:
Trình bày được một số khái niệm dùng trong kỹ thuật NAT
Phân loại và trình bày được đặc điểm của mỗi loại NAT
Cấu hình NAT
NAT - Địa chỉ private và địa chỉ public