Chương 4: Công nghệ WAN và bảo mật Page | 1 GIÁO TRÌNH CCNA CHƯƠNG 4: CÔNG NGHỆ WAN VÀ BẢO MẬT Chương 4: Công nghệ WAN và bảo mật Page | 2 CHỦ ĐỀ PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List 11 I. Giới thiệu chung 11 II. Hoạt động của ACL 11 1. Tìm hiểu về ACL 12 2. Hoạt động của ACL 15 3. Phân loại ACL 19 4. Xác định ACL 19 5. ACL wildcard masking 21 III. Cấu hình ACL 24 1. Cấu hình numbered standard IPv4 ACL 25 2. Cấu hình numbered extended IPv4 ACL 26 3. Cấu hình named ACL 28 3.1 Khởi tạo named standard ACL 28 3.2 Khởi tạo named extended ACL 28 4. Thêm phần ghi chú cho Named hay Numbered ACLs 31 IV. Các lệnh kiểm tra trong ACL 32 V. Các loại khác của ACL 32 1. Dynamic ACL 33 2. Reflexive ACL 35 3. Time-based ACL 37 VI. Ghi chú khi sử dụng Wildcard Masks 38 VII. Giải quyết sự cố trong ACL 41 Chương 4: Công nghệ WAN và bảo mật Page | 3 PART 2: Mở rộng quy mô mạng với NAT và PAT 45 I. Giới thiệu về NAT và PAT 45 1. Biên dịch địa chỉ nguồn bên trong 48 2. Cơ chế NAT tĩnh 51 3. Cơ chế NAT động 52 4. Overloading một địa chỉ toàn cục bên trong 53 II. Giải quyết vấn đề bảng dịch 56 III. Giải quyết sự cố với NAT 57 PART 3: Giải pháp VPN 62 I. Giới thiệu về giải pháp VPN 62 1. VPN và những lợi thế 62 2. Các loại VPN 64 3. IPsec SSL VPN (WebVPN) 69 II. Giới thiệu IPsec 70 PHẦN 4: Thiết lập kết nối WAN với PPP 77 I. Hiểu biết về đóng gói trong WAN 77 II. Xác thực PPP 80 1. Tổng quan về PPP 80 2. Vùng giao thức của PPP 80 3. Giao thức điều khiển liên kết 81 3.1 Phát hiện liên kết lặp 81 3.2 Tăng cường khả năng phát hiện sự cố 82 3.3 PPP Multilink 82 3.4 Xác thực PPP 83 Chương 4: Công nghệ WAN và bảo mật Page | 4 III. Cấu hình và kiểm tra PPP 86 IV. Giải quyết sự cố trong xác thực PPP 89 1. Giải quyết các vấn đề ở lớp 2 89 2. Giải quyết các vấn đề ở lớp 3 92 PART 5: Giới thiệu về công nghệ Frame Relay 94 I. Cấu hình chung mạng Frame Relay 94 II. Tổng quan về Frame Relay 95 1. Các tiêu chuẩn của Frame Relay 98 2. Mạch ảo 98 3. LMI và các loại đóng gói 101 III. Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay 104 1. FECN và BECN 104 2. Các Loại bỏ điều kiện (DE bit) 105 IV. Cấu hình và kiểm tra Frame Relay 106 1. Kế hoạch cho một cấu hình Frame Relay 106 2. Một mạng với đầy đủ meshed với một IP Subnet 108 3. Cấu hình đóng gói và LMI 109 4. Map địa chỉ Frame Relay 113 4.1 Inverse ARP 113 4.2 Map tĩnh Frame Relay 113 V. Xử lý sự cố với mạng Frame Relay 114 PHẦN 6: Tổng quan về IPv6 127 I. Khái quát chung 127 Chương 4: Công nghệ WAN và bảo mật Page | 5 II. Cách thức viết địa chỉ Ipv6 127 III. Phương thức gán địa chỉ Ipv6 130 IV. Cấu trúc địa chỉ IPv6 130 1. Địa chỉ Unicast 131 2. Địa chỉ Anycast 133 3. Địa chỉ Multicast 134 V. Gán địa chỉ IPv6 cho cổng giao diện 136 1. Cấu hình thủ công cổng giao diện 136 2. Gán địa chỉ bằng EUI-64 136 3. Cấu hình tự động 137 4. DHCPv6 (Stateful) 138 5. Dùng dạng EUI-64 trong địa chỉ IPv6 138 VI. Xem xét định tuyến với IPv6 139 VII. Chiến lược để thực hiện IPv6 139 VIII. Cấu hình IPv6 143 PHẦN 7: Các bài lab minh họa 146 1. Cấu hình Standard Access List 146 2. Cấu hình extended Access List 151 3. Cấu hình NAT tĩnh 156 4. Cấu hình NAT overload 159 5. Cấu hình PPP PAP và CHAP 163 6. Cấu hình FRAME RELAY 169 7. Cấu hình FRAME RELAY SUBINTERFACE 176 Chương 4: Công nghệ WAN và bảo mật Page | 6 Phụ lục về các hình sử dụng trong tài liệu PART 1: Quản lý luồng dữ liệu bằng ACL 11 Hình 1-1: Kiểm soát lưu lượng bằng Access Control List 13 Hình 1-2: Bộ lọc của Access Control List 13 Hình 1-3: ACL xác định luồng dữ liệu 15 Hình 1-4: Ví dụ của một outbound ACL 16 Hình 1-5: Sự đánh giá của ACL 18 Hình 1-6: Wildcard mask 22 Hình 1-7: Masking một dãy địa chỉ 23 Hình 1-8: Trường hợp đặc biệt của Wildcard Mask 24 Hình 1-9: Standard ACL 25 Hình 1-10: Extended ACL 26 Hình 1-11: Dynamic ACL 33 Hình 1-12: Reflexive ACL 36 Hình 1-13: Time-based ACL 37 PART 2: Mở rộng quy mô mạng với NAT và PAT 45 Hình 2-1: Network Address Translations 46 Hình 2-2: Port Address Translation 48 Hình 2-3: Biên dịch một địa chỉ với NAT 49 Hình 2-4: NAT tĩnh 51 Hình 2-5: NAT động 53 Hình 2-6: Overloading một địa chỉ toàn cục bên trong 54 Chương 4: Công nghệ WAN và bảo mật Page | 7 PART 3: Giải pháp VPN 62 Hình 3-1: Các ví dụ về kết nối VPN 63 Hình 3-2: Kết nối site-to-site VPN 64 Hình 3-3: Minh họa về kết nối remote-access VPN 65 Hình 3-4: Cisco Easy VPN 66 Hình 3-5: WebVPN 69 Hình 3-6: Cách thức sử dụng khác nhau của IPsec 70 Hình 3-7: Mã hóa dữ liệu 71 Hình 3-8: Mã hóa key 72 Hình 3-9: Thiết lập quá trình mã hóa key 73 Hình 3-10: Xác thực peer 75 PHẦN 4: Thiết lập kết nối WAN với PPP 77 Hình 4-1: Các lựa chọn cho mạng WAN 78 Hình 4-2: Khung PPP và HDLC 81 Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP 83 Hình 4-4: NCP và LCP trong PPP 83 Hình 4-5: Chứng thực PAP 85 Hình 4-6: Chứng thực CHAP 86 PART 5: Giới thiệu về công nghệ Frame Relay 94 Hình 5-1: Mạng Frame Relay 94 Hình 5-2: Các thành phần của mạng Frame Relay 96 Chương 4: Công nghệ WAN và bảo mật Page | 8 Hình 5-3: Khái niệm về Frame Relay PVC 96 Hình 5-4: Mạng Frame Relay thông thường với ba site 99 Hình 5-5: Mạng Frame Relay dười dạng partial-mesh 100 Hình 5-6: LAPF Header 102 Hình 5-7: Đóng gói Cisco và RFC 1490/2427 103 Hình 5-8: Hoạt động cơ bản của FECN và BECN 105 Hình 5-9: Full mesh với nhiều địa chỉ IP 108 Hình 5-10: Tiến trình làm việc của Inverse ARP 113 Hình 5-11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 118 Hình 5-12: Kết quả của việc shut down liên kết R2 và R3 124 PHẦN 6: Tổng quan về IPv6 127 Hình 6-1: Cấu trúc địa chỉ của Link-local 131 Hình 6-2: Cấu trúc địa chỉ của Site-local 131 Hình 6-3: Cấu trúc địa chỉ IPX 132 Hình 6-4: Cấu trức địa chỉ IPv4 tương thích với IPv6 132 Hình 6-5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 133 Hình 6-6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu 133 Hình 6-7: Cấu trúc địa chỉ Anycast 133 Hình 6-8: Cấu trúc địa chỉ đa hướng 134 Hình 6-9: Cấu trúc địa chỉ MAC của LAN 134 Hình 6-10: Tâp hợp các địa chỉ IPv6 135 Hình 6-11: Tự động cấu hình 137 Chương 4: Công nghệ WAN và bảo mật Page | 9 Hình 6-12: Giao diện nhận diện EUI-64 138 Hình 6-13: Sự chuyển đổi IPv4 đến IPv6 140 Hình 6-14: Cisco IOS Dual Stack 141 Hình 6-15: Cấu hình Dual-Stack 141 Hình 6-16: Các yêu cầu của đường hầm IPv6 142 Hình 6-17: Ví dụ cấu hình RIPng 143 Chương 4: Công nghệ WAN và bảo mật Page | 10 Phụ lục về các bảng sử dụng trong tài liệu Bảng 1: Liệt kê các dãy số khác nhau cùa ACL cho các giao thức 20 Bảng 2: Well-known port number và các giao thức 27 Bảng 3: Các tham số cho cấu hình numbered extended ACL 27 Bảng 4: Các khái niệm về Frame Relay 97 Bảng 5: Các giao thức Frame Relay 98 Bảng 6: Các loại LMI 102 Bảng 7: Các giá trị trạng thái của PVC 122 [...]... Với lock-and-key, bạn có thể cho phép truy cập vào các máy chủ từ xa chỉ với mong muốn thiết lập máy chủ lưu trữ nội bộ Lock-and-key đòi hỏi Page | 33 Chương 4: Công nghệ WAN và bảo mật người sử dụng để xác thực thông qua một máy chủ + TACACS, hoặc máy chủ bảo mật khác, trước khi nó cho phép máy chủ của họ để truy cập vào máy chủ từ xa Dynamic ACL có lợi ích bảo mật sau hơn so với standard và extended.. .Chương 4: Công nghệ WAN và bảo mật PART 1: Quản lý luồng dữ liệu bằng ACL I - Giới thiệu chung: Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, hệ thống mạng là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu, và vì vậy bảo mật trong hệ thống mạng là một vấn đề đang được quan tâm Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực bảo mật. .. dụ, địa chỉ nguồn và đích và số cổng, không chỉ cờ ACK mà cờ RST bits, cũng được kiểm tra Hình 1-1 2 minh họa cách reflexive ACL hoạt động Page | 35 Chương 4: Công nghệ WAN và bảo mật Hình 1-1 2: Reflexive ACL Reflexive ACLs là một phần quan trọng của bảo mật mạng chống lại hacker mạng và có thể được bao gồm trong một tường lửa Reflexive ACLs cung cấp một mức độ bảo mật chống lại giả mạo và một số từ chối... mấu chốt cơ bản cho các loại ACL khác Những loại ACL khác bao gồm: Page | 32 Chương 4: Công nghệ WAN và bảo mật Dynamic ACLs (lock-and-key) Reflexive ACLs Time-based ACLs 1 Dynamic ACLs (lock-and-key): ACL động (dynamic ACL) phụ thuộc vào kết nối Telnet, chứng thực (authentication) (nội bộ hoặc từ xa), và extended ACL Lock-and-key cấu hình bắt đầu với các ứng dụng của một ACL mở rộng để ngăn chặn luồng... loại và bộ lọc, ACL đã cung cấp một công cụ rất mạnh trong Cisco IOS Xem xét các sơ đồ mạng trong hình 1-1 ACL được sử dụng, quản trị viên có những công cụ để chặn lưu lượng truy cập từ Internet, cung cấp truy cập điều khiển để quản lý các thiết bị Cisco IOS, và cung cấp dịch địa chỉ cho các địa chỉ tư nhân (private addresses) như các mạng 172.16.0.0 Page | 12 Chương 4: Công nghệ WAN và bảo mật Hình 1-1 :... ACL Page | 20 Chương 4: Công nghệ WAN và bảo mật Thiết kế và thực thi tốt ACL là thực hiện thêm một thành phần bảo mật quan trọng đối với mạng của bạn Thực hiện theo các nguyên tắc chung để đảm bảo rằng các ACL bạn tạo ra có các kết quả dự kiến: ■ Căn cứ vào các điều kiện kiểm tra, hãy chọn một standard hoặc extended, đánh số, hoặc dùng tên ACL ■ Chỉ có một ACL trên giao thức, mỗi hướng, và một giao... access-group name in Dùng câu lệnh show ip interface để kiểm tra IP ACL đã áp vào cổng 3.2 Khởi tạo Named extended ACL: Các bước bắt buộc để cấu hình và áp đặt một named extended ACL trên router: Page | 29 Chương 4: Công nghệ WAN và bảo mật Step 1: Định nghĩa một extended named ACL Router(config)#ip access-list extended name Step 2: Sử dụng câu lệnh sau để xây dựng biến số kiểm tra Router(config-ext-nacl)#[sequence-number]... (application) của gói tin Hình 1-1 0 chứng tỏ rằng vùng header của IP có thể bị thẩm tra với một extended ACL Hình 1-1 0: Extended ACL Để chỉ định một ứng dụng, bạn có thể cấu hình số cổng hoặc tên của một ứng dụng nổi tiếng Bảng 1-2 cho thấy một danh sách rút gọn của một số port của các ứng dụng TCP khác nhau Page | 26 Chương 4: Công nghệ WAN và bảo mật Bảng 2: Well-known port number và các giao thức Để cấu... Router(config-std-nacl)#[sequence-number] deny {source [source-wildcard] | any} Router(config-std-nacl)#[sequence-number] permit {source [source-wildcard] | any} Step 3: Rời khỏi cấu hình named ACL: Router(config-std-nacl)#exit Router(config) Step 4: Chọn một cổng giao diện cần áp đặt ACL Router(config)#inteface Ethernet 0 Router(config-if)# Step 5: Kích hoạt standard ACL trên cổng giao diện Router(config-if)#ip... trong danh sách Quá trình này được tiếp tục cho đến cuối danh sách các điều kiện Hình 1-5 cho thấy lưu lượng hợp lý của báo cáo đánh giá Page | 17 Chương 4: Công nghệ WAN và bảo mật Hình 1-5 : Sự đánh giá của ACL Một statement cuối cùng bao gồm tất cả các gói dữ liệu mà không thỏa mãn các điều kiện Và kết quả cho statement này cho tất cả các gói tin còn lại là "deny" Thay vì đi vào, hoặc đi ra một giao . Chương 4: Công nghệ WAN và bảo mật Page | 1 GIÁO TRÌNH CCNA CHƯƠNG 4: CÔNG NGHỆ WAN VÀ BẢO MẬT Chương 4: Công nghệ WAN và bảo mật Page |. Hình 2-4 : NAT tĩnh 51 Hình 2-5 : NAT động 53 Hình 2-6 : Overloading một địa chỉ toàn cục bên trong 54 Chương 4: Công nghệ WAN và bảo mật Page | 7 PART 3: Giải pháp VPN 62 Hình 3-1 : Các. Giới thiệu về công nghệ Frame Relay 94 Hình 5-1 : Mạng Frame Relay 94 Hình 5-2 : Các thành phần của mạng Frame Relay 96 Chương 4: Công nghệ WAN và bảo mật Page | 8 Hình 5-3 : Khái niệm về