Giáo trình ccna - Chương 4: Công nghệ WAN và bảo mật

Chương 4: Công nghệ WAN và bảo mật Page | 1 GIÁO TRÌNH CCNA CHƯƠNG 4: CÔNG NGHỆ WAN VÀ BẢO MẬT Chương 4: Công nghệ WAN và bảo mật Page | 2 CHỦ ĐỀ PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List .......................... 11 I. Giới thiệu chung ............................................................................... 11 II. Hoạt động của ACL ......................................................................... 11 1. Tìm hiểu về ACL ........................................................................ 12 2. Hoạt động của ACL .................................................................... 15 3. Phân loại ACL ............................................................................ 19 4. Xác định ACL ............................................................................. 19 5. ACL wildcard masking ............................................................... 21 III. Cấu hình ACL .................................................................................. 24 1. Cấu hình numbered standard IPv4 ACL ...................................... 25 2. Cấu hình numbered extended IPv4 ACL ..................................... 26 3. Cấu hình named ACL ................................................................. 28 3.1 Khởi tạo named standard ACL ............................................... 28 3.2 Khởi tạo named extended ACL .............................................. 28 4. Thêm phần ghi chú cho Named hay Numbered ACLs ................ 31 IV. Các lệnh kiểm tra trong ACL ........................................................... 32 V. Các loại khác của ACL .................................................................... 32 1. Dynamic ACL ............................................................................. 33 2. Reflexive ACL ............................................................................ 35 3. Time-based ACL ........................................................................ 37 VI. Ghi chú khi sử dụng Wildcard Masks .............................................. 38 VII. Giải quyết sự cố trong ACL ............................................................. 41 Chương 4: Công nghệ WAN và bảo mật Page | 3 PART 2: Mở rộng quy mô mạng với NAT và PAT ..................................... 45 I. Giới thiệu về NAT và PAT .............................................................. 45 1. Biên dịch địa chỉ nguồn bên trong ............................................... 48 2. Cơ chế NAT tĩnh ......................................................................... 51 3. Cơ chế NAT động ....................................................................... 52 4. Overloading một địa chỉ toàn cục bên trong ................................ 53 II. Giải quyết vấn đề bảng dịch ............................................................. 56 III. Giải quyết sự cố với NAT ................................................................ 57 PART 3: Giải pháp VPN .............................................................................. 62 I. Giới thiệu về giải pháp VPN ............................................................ 62 1. VPN và những lợi thế ................................................................. 62 2. Các loại VPN .............................................................................. 64 3. IPsec SSL VPN (WebVPN) ........................................................ 69 II. Giới thiệu IPsec ............................................................................... 70 PHẦN 4: Thiết lập kết nối WAN với PPP ................................................... 77 I. Hiểu biết về đóng gói trong WAN ................................................... 77 II. Xác thực PPP ................................................................................... 80 1. Tổng quan về PPP ....................................................................... 80 2. Vùng giao thức của PPP .............................................................. 80 3. Giao thức điều khiển liên kết ...................................................... 81 3.1 Phát hiện liên kết lặp .............................................................. 81 3.2 Tăng cường khả năng phát hiện sự cố .................................... 82 3.3 PPP Multilink ........................................................................ 82 3.4 Xác thực PPP ......................................................................... 83 Chương 4: Công nghệ WAN và bảo mật Page | 4 III. Cấu hình và kiểm tra PPP ................................................................ 86 IV. Giải quyết sự cố trong xác thực PPP ................................................ 89 1. Giải quyết các vấn đề ở lớp 2 ...................................................... 89 2. Giải quyết các vấn đề ở lớp 3 ...................................................... 92 PART 5: Giới thiệu về công nghệ Frame Relay ........................................... 94 I. Cấu hình chung mạng Frame Relay ................................................. 94 II. Tổng quan về Frame Relay .............................................................. 95 1. Các tiêu chuẩn của Frame Relay ................................................. 98 2. Mạch ảo ...................................................................................... 98 3. LMI và các loại đóng gói .......................................................... 101 III. Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay .............. 104 1. FECN và BECN ........................................................................ 104 2. Các Loại bỏ điều kiện (DE bit) .................................................. 105 IV. Cấu hình và kiểm tra Frame Relay ................................................. 106 1. Kế hoạch cho một cấu hình Frame Relay .................................. 106 2. Một mạng với đầy đủ meshed với một IP Subnet ...................... 108 3. Cấu hình đóng gói và LMI ........................................................ 109 4. Map địa chỉ Frame Relay .......................................................... 113 4.1 Inverse ARP ......................................................................... 113 4.2 Map tĩnh Frame Relay ......................................................... 113 V. Xử lý sự cố với mạng Frame Relay ................................................ 114 PHẦN 6: Tổng quan về IPv6 ...................................................................... 127 I. Khái quát chung ............................................................................. 127 Chương 4: Công nghệ WAN và bảo mật Page | 5 II. Cách thức viết địa chỉ Ipv6 ............................................................. 127 III. Phương thức gán địa chỉ Ipv6 ......................................................... 130 IV. Cấu trúc địa chỉ IPv6 ...................................................................... 130 1. Địa chỉ Unicast ......................................................................... 131 2. Địa chỉ Anycast ......................................................................... 133 3. Địa chỉ Multicast ....................................................................... 134 V. Gán địa chỉ IPv6 cho cổng giao diện .............................................. 136 1. Cấu hình thủ công cổng giao diện ............................................. 136 2. Gán địa chỉ bằng EUI-64 .......................................................... 136 3. Cấu hình tự động ....................................................................... 137 4. DHCPv6 (Stateful) .................................................................... 138 5. Dùng dạng EUI-64 trong địa chỉ IPv6 ....................................... 138 VI. Xem xét định tuyến với IPv6 ......................................................... 139 VII. Chiến lược để thực hiện IPv6 ......................................................... 139 VIII. Cấu hình IPv6 ................................................................................ 143 PHẦN 7: Các bài lab minh họa .................................................................. 146 1. Cấu hình Standard Access List ................................................. 146 2. Cấu hình extended Access List ................................................. 151 3. Cấu hình NAT tĩnh ................................................................... 156 4. Cấu hình NAT overload ............................................................ 159 5. Cấu hình PPP PAP và CHAP .................................................... 163 6. Cấu hình FRAME RELAY ....................................................... 169 7. Cấu hình FRAME RELAY SUBINTERFACE ......................... 176 Chương 4: Công nghệ WAN và bảo mật Page | 6 Phụ lục về các hình sử dụng trong tài liệu PART 1: Quản lý luồng dữ liệu bằng ACL ...................................................... 11 Hình 1-1: Kiểm soát lưu lượng bằng Access Control List ................................. 13 Hình 1-2: Bộ lọc của Access Control List ......................................................... 13 Hình 1-3: ACL xác định luồng dữ liệu .............................................................. 15 Hình 1-4: Ví dụ của một outbound ACL ........................................................... 16 Hình 1-5: Sự đánh giá của ACL ........................................................................ 18 Hình 1-6: Wildcard mask .................................................................................. 22 Hình 1-7: Masking một dãy địa chỉ ................................................................... 23 Hình 1-8: Trường hợp đặc biệt của Wildcard Mask .......................................... 24 Hình 1-9: Standard ACL ................................................................................... 25 Hình 1-10: Extended ACL ................................................................................ 26 Hình 1-11: Dynamic ACL ................................................................................. 33 Hình 1-12: Reflexive ACL ................................................................................ 36 Hình 1-13: Time-based ACL ............................................................................. 37 PART 2: Mở rộng quy mô mạng với NAT và PAT ........................................... 45 Hình 2-1: Network Address Translations .......................................................... 46 Hình 2-2: Port Address Translation ................................................................... 48 Hình 2-3: Biên dịch một địa chỉ với NAT ......................................................... 49 Hình 2-4: NAT tĩnh ........................................................................................... 51 Hình 2-5: NAT động ......................................................................................... 53 Hình 2-6: Overloading một địa chỉ toàn cục bên trong ...................................... 54 Chương 4: Công nghệ WAN và bảo mật Page | 7 PART 3: Giải pháp VPN ................................................................................... 62 Hình 3-1: Các ví dụ về kết nối VPN .................................................................. 63 Hình 3-2: Kết nối site-to-site VPN .................................................................... 64 Hình 3-3: Minh họa về kết nối remote-access VPN ........................................... 65 Hình 3-4: Cisco Easy VPN ............................................................................... 66 Hình 3-5: WebVPN .......................................................................................... 69 Hình 3-6: Cách thức sử dụng khác nhau của IPsec ............................................ 70 Hình 3-7: Mã hóa dữ liệu .................................................................................. 71 Hình 3-8: Mã hóa key ....................................................................................... 72 Hình 3-9: Thiết lập quá trình mã hóa key .......................................................... 73 Hình 3-10: Xác thực peer .................................................................................. 75 PHẦN 4: Thiết lập kết nối WAN với PPP ........................................................ 77 Hình 4-1: Các lựa chọn cho mạng WAN ........................................................... 78 Hình 4-2: Khung PPP và HDLC ....................................................................... 81 Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP ............................ 83 Hình 4-4: NCP và LCP trong PPP ..................................................................... 83 Hình 4-5: Chứng thực PAP ............................................................................... 85 Hình 4-6: Chứng thực CHAP ............................................................................ 86 PART 5: Giới thiệu về công nghệ Frame Relay ................................................ 94 Hình 5-1: Mạng Frame Relay ............................................................................ 94 Hình 5-2: Các thành phần của mạng Frame Relay ............................................ 96 Chương 4: Công nghệ WAN và bảo mật Page | 8 Hình 5-3: Khái niệm về Frame Relay PVC ....................................................... 96 Hình 5-4: Mạng Frame Relay thông thường với ba site ..................................... 99 Hình 5-5: Mạng Frame Relay dười dạng partial-mesh .................................... 100 Hình 5-6: LAPF Header .................................................................................. 102 Hình 5-7: Đóng gói Cisco và RFC 1490/2427 .................................................. 103 Hình 5-8: Hoạt động cơ bản của FECN và BECN ........................................... 105 Hình 5-9: Full mesh với nhiều địa chỉ IP ......................................................... 108 Hình 5-10: Tiến trình làm việc của Inverse ARP ............................................. 113 Hình 5-11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 .. 118 Hình 5-12: Kết quả của việc shut down liên kết R2 và R3 .............................. 124 PHẦN 6: Tổng quan về IPv6 ........................................................................... 127 Hình 6-1: Cấu trúc địa chỉ của Link-local ....................................................... 131 Hình 6-2: Cấu trúc địa chỉ của Site-local ......................................................... 131 Hình 6-3: Cấu trúc địa chỉ IPX ........................................................................ 132 Hình 6-4: Cấu trức địa chỉ IPv4 tương thích với IPv6 ..................................... 132 Hình 6-5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 ...................................................... 133 Hình 6-6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu .............................. 133 Hình 6-7: Cấu trúc địa chỉ Anycast ................................................................. 133 Hình 6-8: Cấu trúc địa chỉ đa hướng ............................................................... 134 Hình 6-9: Cấu trúc địa chỉ MAC của LAN ...................................................... 134 Hình 6-10: Tâp hợp các địa chỉ IPv6 ................................................................ 135 Hình 6-11: Tự động cấu hình .......................................................................... 137 Chương 4: Công nghệ WAN và bảo mật Page | 9 Hình 6-12: Giao diện nhận diện EUI-64........................................................... 138 Hình 6-13: Sự chuyển đổi IPv4 đến IPv6 ........................................................ 140 Hình 6-14: Cisco IOS Dual Stack ................................................................... 141 Hình 6-15: Cấu hình Dual-Stack ..................................................................... 141 Hình 6-16: Các yêu cầu của đường hầm IPv6 .................................................. 142 Hình 6-17: Ví dụ cấu hình RIPng .................................................................... 143 Chương 4: Công nghệ WAN và bảo mật Page | 10 Phụ lục về các bảng sử dụng trong tài liệu Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức ....................... 20 Bảng 2: Well-known port number và các giao thức .............................................. 27 Bảng 3: Các tham số cho cấu hình numbered extended ACL ............................... 27 Bảng 4: Các khái niệm về Frame Relay ............................................................... 97 Bảng 5: Các giao thức Frame Relay ..................................................................... 98 Bảng 6: Các loại LMI ........................................................................................ 102 Bảng 7: Các giá trị trạng thái của PVC ............................................................... 122 Chương 4: Công nghệ WAN và bảo mật Page | 11 PART 1: Quản lý luồng dữ liệu bằng ACL I - Giới thiệu chung: Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm. Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo mật là Access Control List (ACL). Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy cập vào một địa chỉ nào đó. Access List có 2 loại là Standard Access List và Extended Access List: Standard Access List: đây là loại danh sách truy cập mà khi cho phép hay ngăn cản việc truy cập, Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ nguồn (Source Address). Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với loại Standard, các yếu tố về địa chị nguồn (Source Address), địa chỉ đích (Destination Address), giao thức, port… sẽ được kiểm tra trước khi Router cho phép việc truy cập hay ngăn cản. Bạn cũng có thể cấu hình Standard và Extended của Cisco IOS ACL trên trên các cổng (interfaces) của Router cho việc kiểm soát truy cập để kiểm soát các loại lưu lượng được phép thông qua. Các tính năng của Cisco IOS được áp dụng vào các cổng giao diện theo những hướng cụ thể (chiều dữ liệu vào với chiều dữ liệu đi ra). Phần này sẽ mô tả hoạt động của các loại khác nhau của ACL và cho bạn thấy làm thế nào để cấu hình IP phiên bản 4 (IPv4) ACL. II - Hoạt động của ACL: Tìm hiểu về việc sử dụng danh sách kiểm soát truy cập (ACL) cho phép bạn xác định làm thế nào để thực hiện chúng trên mạng Cisco của bạn. ACL có thể cung cấp một tính năng an ninh mạng quan trọng và lọc các gói tin vào và ra các cổng giao diện của router. Phần này mô tả một số ứng dụng cho ACL trên các mạng Cisco, xác định các loại khác nhau của ACL có thể được thực hiện, và giải thích các quy trình Cisco IOS software thực thi ACL. Chương 4: Công nghệ WAN và bảo mật Page | 12 1. Tìm biết về ACL: Để có thể cấu hình và thực hiện các ACL, bạn cần phải hiểu được năng lực của chúng được sử dụng. Thiết bị Cisco sử dụng ACL vào hai chức năng chính: phân loại và lọc. Sau đây giải thích mỗi chức năng:  Phân loại (Classification): Thiết bị định tuyến cũng sử dụng ACL để xác định luồng dữ liệu truy cập cụ thể. Sau khi một ACL đã xác định và phân loại luồng truy cập, bạn có thể cấu hình router về cách xử lý các luồng dữ liệu. Ví dụ, bạn có thể sử dụng một ACL để xác định các mạng con điều hành (subnet) như là nguồn lưu lượng truy cập (traffic source) và sau đó cung cấp quyền ưu tiên so với các loại các luồng dữ liệu khác trên một liên kết WAN tắc nghẽn (congested WAN).  Bộ lọc (Filtering): Khi số lượng các kết nối router kết nối ra ngoài hệ thống mạng tăng mạnh và sử dụng Internet tăng, kiểm soát truy cập mang đến những thách thức mới. Quản trị mạng phải đối mặt với tình trạng khó xử như thế nào để từ chối lưu lượng truy cập không mong muốn trong khi cho phép truy cập thích hợp. Ví dụ, bạn có thể sử dụng một ACL như một bộ lọc để giữ lại những việc truy cập các dữ liệu nhạy cảm (sensitive data) cho khách hàng liên quan đến tài chính. Qua tính năng phân loại và bộ lọc, ACL đã cung cấp một công cụ rất mạnh trong Cisco IOS. Xem xét các sơ đồ mạng trong hình 1-1. ACL được sử dụng, quản trị viên có những công cụ để chặn lưu lượng truy cập từ Internet, cung cấp truy cập điều khiển để quản lý các thiết bị Cisco IOS, và cung cấp dịch địa chỉ cho các địa chỉ tư nhân (private addresses) như các mạng 172.16.0.0 Chương 4: Công nghệ WAN và bảo mật Page | 13 Hình 1-1: Kiểm soát lưu lượng bằng ACL Lọc là chức năng của ACL mà mọi người dễ dàng nhận biết nhất. ACL cung cấp một công cụ quan trọng để kiểm soát giao thông trên mạng. Lọc gói giúp kiểm soát gói tin di chuyển thông qua mạng. Hình 1-2 cho thấy một ví dụ về ACL lọc dữ liệu theo hướng vào trong và ra ngoài của một giao diện vật lý, hoặc phiên Telnet của một thiết bị Cisco IOS. Hình 1-2: Bộ lọc của ACL Cisco cung cấp ACL để cho phép hoặc từ chối những điều sau đây:  Việc vượt qua của các gói tin đến hoặc từ các cổng của router và lưu lượng qua các router.  Luồng dữ liệu Telnet truy cập vào hoặc ra khỏi cổng vty router để quản lý router Chương 4: Công nghệ WAN và bảo mật Page | 14 Theo mặc định, tất cả lưu lượng IP được phép vào và ra khỏi tất cả các giao diện router. Khi các router loại bỏ gói tin, một số giao thức (protocol) trả về một gói tin đặc biệt để thông báo cho người gửi là điểm đến không thể kết nối. Đối với các giao thức IP, ACL có khả năng loại bỏ kết quả trong một "Destination unreachable (UUU)" phản hồi cho việc ping và một "Administratively prohibited(A *!! A)" phản hồi của việc traceroute. IP ACL có thể phân loại và phân biệt các luồng dữ liệu. Phân loại cho phép bạn chỉ định xử lý đặc biệt cho luồng dữ liệu được xác định trong một ACL, chẳng hạn như sau:  Xác định các loại hình dữ liệu phải được mã hóa trên một mạng riêng ảo (VPN) kết nối.  Xác định các tuyến đường (routes) sẽ được phân phối từ các giao thức định tuyến với nhau. Sử dụng với bộ lọc cho các tuyến đường để xác định các tuyến đường sẽ được bao gồm trong các bản cập nhật định tuyến giữa các router.  Sử dụng với chính sách dựa trên định tuyến (policy-based routing) để xác định các loại hình giao thông được chuyển qua một liên kết được chỉ định.  Sử dụng với Network Address Translation (NAT) để xác định được địa chỉ cần dịch.  Sử dụng với tính năng bảo đảm chất lượng dịch vụ (QoS) để xác định các gói dữ liệu nên được sắp xếp trong một hàng đợi được trong thời gian tắc nghẽn. Hình 1-3 cho thấy một số ví dụ về cách sử dụng ACLs để phân loại lưu lượng truy cập, chẳng hạn như có lưu lượng truy cập để mã hóa trên các VPN, trong đó tuyến đường sẽ được phân phối lại giữa Open Shortest Path First (OSPF) và Enhanced Interior Gateway Protocol (EIGRP), và có địa chỉ dịch bằng cách sử dụng NAT. Chương 4: Công nghệ WAN và bảo mật Page | 15 Hình 1-3: ACL xác dịnh luồng dữ liệu 2. Hoạt động của ACL: ACL thể hiện thông qua một bộ quy tắc (rule) để kiểm soát cho gói dữ liệu đi vào giao diện, các gói dữ liệu chuyển tiếp thông qua các bộ định tuyến, và các gói dữ liệu thoát ra bên ngoài của router. ACL không kiểm soát trên các gói có nguồn gốc xuất phát từ router. Thay vào đó, ACL ra chỉ định các điều kiện của router làm thế nào xử lý lưu lượng các dữ liệu đi qua các cổng được chỉ định. ACL hoạt động theo hai cách: ■ Quản lý chiều vào (Inbound ACL): Các gói dữ liệu gửi đến một cổng được xử lý trước khi chúng được chuyển đến cổng khác đi ra. Một inbound ACL có hiệu quả bởi vì nó giúp tiết kiệm các chi phí của việc tra cứu trong bảng định tuyến nếu gói tin sẽ được bỏ đi sau khi bị từ chối bởi các kiểm tra của bộ lọc. Nếu gói dữ liệu thõa mãn các điều kiện cho phép từ bộ lọc, nó sẽ được xử lý bằng bộ định tuyến. ■ Quản lý chiều ra (Outbound ACL): Các gói dữ liệu gửi đến được chuyển tới giao diện ra bên ngoài và sau đó xử lý thông qua outbound ACL. Hình 1-4 cho thấy một ví dụ của một outbound ACL. Chương 4: Công nghệ WAN và bảo mật Page | 16 Khi một gói đi vào một giao diện, router kiểm tra bảng định tuyến để xem nếu gói dữ liệu được định tuyến. Nếu gói tin không phải là định tuyến, nó bị bỏ rơi (dropped). Tiếp theo, router sẽ kiểm tra xem liệu các giao diện điểm đến (destination interface) là nhóm lại với một ACL. Nếu giao diện đích không phải là nhóm lại với một