Tự Học Quản Trị Mạng

Cơ chế hoạt động của Access Control List và Wildcard Mask

Posted on by ChuyenGiaBaoMat

Cơ chế hoạt động của Access Control List và Wildcard Mask

Phần 1: Định nghĩa, phân loại, cơ chế hoạt động

Phần 2: Cách hoạt động ACL Wildcard Masking

Phần 2: Cấu hình các loại ACL cơ bản

1. Mục đích của Wildcard mask

Trong Cisco IOS,Wildcard Mask dùng với các mục đích sau:

+ Để biết kích thước của một mạng hoặc mạng con của trong giao thức định tuyến như OSPF, EIGRP

+ Kiểm tra những IP cần kiểm tra để áp dụng hành động Allow hoặc Deny trong Access Control List (ACL).

Dạng thức của Wildcard Mask  là Subnet Mask ngược. Ví dụ, một subnet mask là 255.255.255.0 (tương đương nhị phân = 11111111.11111111.11111111.00000000)

Đảo ngược của Subnet Mask là 00000000. 00000000. 00000000. 11111111 (tương đương 0.0.0.255 thập phân)

(Tính Wildcard Mask loại đơn giản (dải liên tục) là lấy 255.255.255.255

Trừ cho Subnet Mask thì ra Wildcard Mask.

Ví dụ: Cần tính Wildcard Mask của IP/SM sau: 172.16.1.0/255.255.255.0

Ta lấy  255.255.255.255

         –   255.255.255.0

         =   0.0.0.255

2. Ứng dụng Wildcard Mask (WM) trong ACL

Wildcard masks kết hợp với ACL để xác định một host, một net hoặc một phần của network khi đi qua thiết bị cấu hình ACL

Bít 0 của Wildcard Mask có nghĩa rằng các bit của IP tương ứng cần kiểm tra

Bít 1 có nghĩa là các bit tương đương không cần kiểm tra

 Ví dụ ta có câu lệnh Acssess List sau tại Router 2 (hình vẽ):

Xem Thêm Bài Viết  Tự học CCNA Security bài 1: Giao thức SPANNING TREE PROTOCOL

access-list 1 permit 172.16.1.0 0.0.0.3   (cho phép dải ip này qua Router)

access-list 1 deny any                         (cấm tất cả IP không thỏa mãn ACL trên)

 

+ Quy trình hoạt động:

co-che-hoat-dong-cua-access-list

Router chuyển IP và wildcard mask thành nhị phân:

IP=    10101100.00010000.00000001.0000000

WM=00000000.00000000.00000000.00000011

Theo lý thuyết WM mà giá trị bít  0  thì cần kiểm tra, giá trị bit 1 không cần kiểm tra IP vào. Khi một IP nào đó đi vào Router, sẽ được so sánh với ACL trên tương ứng với các bít 0.

Cần so sánh tới 30 bít đầu tiên, nếu 30 của IP vào Router mà khớp với ACL thì có nghĩa là sẽ thực hiện hành động permit , còn không khớp sẽ bị Deny.

Nếu có IP vào Router:  172.16.1.2 <-> 10101100.00010000.00000001.00000010

Như vậy ta thấy 172.16.1.2 thỏa mãn WM, gói tin được permit

Nếu có IP vào: 172.16.1.10 <-> 10101100.00010000.00000001.00001010

Ta thấy có 28 bít đầu thỏa mãn, còn 2 bít nữa là không.

Vậy gói tin này bị Deny.

Vậy với wildcard mask như trên thì bao nhiêu IP của Network 172.16.1.0 sẽ được allow.

Ta thấy cần kiểm tra 30 bít và không kiểm tra 2 bít, ta có số IP thỏa mãn ACL trên là :

172.16.1.1, 172.16.1.2, 172.16.1.3.

Lượt xem (4227)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *