Phần 2 - Định tuyến
Định tuyến là cách thức mà Router (bộ định tuyến) hay
PC (hoặc thiết bị mạng khác) sử dụng để truyền phát các
gói tin tới địa chỉ đích trên mạng.
Nguyên tắc định tuyến
Khám phá động một topo mạng.
Xây dựng các đường ngắn nhất.
Kiểm soát tóm tắt thông tin về các mạng bên ngoài, có thể sử
dụng các metric khác nhau trong mạng cục bộ.
Phản ứng nhanh với sự thay đổi topo mạng và cập nhật các cây
đường ngắn nhất.
Làm tất cả các điều trên theo định kỳ thời gian.
Nguyên tắc định tuyến tĩnh
Định tuyến tĩnh được sử dung trong các trường hợp:
Khi không cần thiết có thông tin cập nhật định tuyến động, được
chuyển tiếp qua các liên kết băng thông chậm, như DialUp.
Khi người quản trị cần toàn quyền kiểm soát các tuyến đường được sử
dụng bởi Router.
Khi cần thiết có 1 bản backup tự động các tuyến đường được xác định
Khi cần sử dụng mạng stub network (mạng chỉ có một con đường để
đi ra bên ngoài)
Khi một bộ định tuyến là không đủ mạnh và không có tài nguyên
CPU hoặc bộ nhớ cần thiết để xử lý một giao thức định tuyến động.
Khi tuyến đường xuất hiện trên Router như là 1 mạng kết nối trực
tiếp.
Cấu hình định tuyến tĩnh
Router(config)#ip route {destination network} {subnet mask}
{nexthop ip address | outgoing interface} [distance] <administrative
distance>
Nguyên tắc định tuyến động
Định tuyến động cho phép mạng có thể tự điều chỉnh tự động
khi có sự thay đổi trong cấu trúc mạng, mà không cần sự can thiệp
của người quản trị.
Người quản trị sẽ cấu hình giao thức định tuyến trên mỗi Router.
Các router trao đổi thông tin các về mạng được truy cập và trạng thái
của mỗi mạng.
Các router trao đổi thông tin với các router có cùng giao thức.
Khi có sự thay đổi về cấu trúc mạng, thông tin mới sẽ được lan truyền
trên toàn mạng, và các router cập nhật nó vào bảng định tuyến để ánh
xạ cho sự thay đổi đó.
Một số giao thức định tuyến: RIP, IGRP, EIGRP, OSPF, IS-IS và
BGP
Phần 3 : Removing protocol & services
Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo protocol và
service port:
Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source
address] [destination address] {service port|eq service}
access-list-number: Với Extended Access list, chỉ số này nằm trong khoảng
100-199, 2000-2069 .
Protocol:
0 – 255 IP protocol number hoặc các protocol phổ biến sau:
ahp Authentication Header Protocol
eigrp Cisco’s EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco’s GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Services và port number tương ứng:
Well-known ports: 0–1023
Tham khảo đầy đủ tại
http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports:_1024.E2.80.9349151
hoặc một số port thông dụng:
21: File Transfer Protocol (FTP)
22: Secure Shell (SSH)
23: Telnet remote login service
25: Simple Mail Transfer Protocol (SMTP)
53: Domain Name System service
80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web
110: Post Office Protocol (POP)
119: Network News Transfer Protocol (NNTP)
161: Simple Network Management Protocol (SNMP)
443: HTTPs with Transport Layer Security or Secure Sockets Layer
Registered ports: 1024–49151
Tham khảo đầy đủ tại
http://www.iana.org/assignments/port-numbers
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports:_1024.E2.80.9349151
hoặc một số port thông dụng:
1080 TCP SOCKS proxy
1167 UDP phone, conference calling
1194 TCP UDP OpenVPN
1220 TCP QuickTime Streaming Server administration
1234 UDP VLC media player Default port for UDP/RTP stream
1293 TCP UDP IPSec (Internet Protocol Security)
1352 TCP IBM Lotus Notes/Domino
[36]
(RPC) protocol
1470 TCP Solarwinds Kiwi Log Server
1503 TCP UDP Windows Live Messenger (Whiteboard and Application
Sharing)
1512 TCP UDP Microsoft Windows Internet Name Service (WINS)
1513 TCP UDP Garena Garena Gaming Client
Dynamic, private or ephemeral ports: 49152–65535
Gồm các port được sử dụng mà không cần đăng kí với IANA,
sử dụng trong các dịch vụ chạy trong mạng nội bộ, hoặc các dịch
vụ phát triển riêng.
4. Creating Access Control Lists
Các loại ACLs:
Có 2 loại Access lists là: Standard Access Lists, Extended Access lists
Standard ACLs: Lọc (Filter) địa chỉ ip nguồn (Source) vào trong
mạng – đặt gần đích (Destination).
Extended ACLs: Lọc địa chỉ ip nguồn và đích của 1 gói tin
(packet), giao thức tầng “Network layer header” như TCP, UDP,
ICMP…, và port numbers trong tầng “Transport layer header”. Nên đặt
gần nguồn (source).
Không có nhận xét nào:
Đăng nhận xét