Professional Documents
Culture Documents
Lab5 Cau Hinh ACLs IPv6
Lab5 Cau Hinh ACLs IPv6
Ipv6 là gì ?
Địa chỉ IPv6 (Internet protocol version 6) là thế hệ địa chỉ Internet phiên bản mới được thiết kế để
thay thế cho phiên bản địa chỉ IPv4 trong hoạt động Internet. Địa chỉ IPv4 có chiều dài 32 bít, biểu
diễn dưới dạng các cụm số thập phân phân cách bởi dấu chấm, ví dụ 203.119.9.0. IPv4 là phiên bản
địa chỉ Internet đầu tiên, đồng hành với việc phát triển như vũ bão của hoạt động Internet trong hơn
hai thập kỷ vừa qua. Với 32 bit chiều dài, không gian IPv4 gồm khoảng 4 tỉ địa chỉ cho hoạt động
mạng toàn cầu.
Do sự phát triển như vũ bão của mạng và dịch vụ Internet, nguồn IPv4 dần cạn kiệt, đồng thời bộc lộ
các hạn chế đối với việc phát triển các loại hình dịch vụ hiện đại trên Internet. Phiên bản địa chỉ
Internet mới IPv6 được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản:
Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet.
Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4.
IPv6 được thiết kế với những tham vọng và mục tiêu như sau:
o Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ.
o Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công
nghệ NAT
o Quản trị TCP/IP dễ dàng hơn: DHCP được sử dụng trong IPv4 nhằm giảm cấu hình thủ
công TCP/IP cho host. IPv6 được thiết kế với khả năng tự động cấu hình mà không cần
sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công.
o Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp.
o Hỗ trợ tốt hơn Multicast: Multicast là một tùy chọn của địa chỉ IPv4, tuy nhiên khả năng
hỗ trợ và tính phổ dụng chưa cao.
o Hỗ trợ bảo mật tốt hơn: IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết rõ
nhau kết nối với nhau. Do vậy bảo mật chưa phải là một vấn đề được quan tâm. Song
hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm hàng đầu.
o Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết
bị IP di động. Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển, đòi hỏi cấu
trúc giao thức Internet có sự hỗ trợ tốt hơn.
Default Gateway là gì ?
Default Gateway (viết tắt DG) trước tiên là một địa chỉ IP, và còn được gọi là cổng mặc định
của mạng máy tính. Địa chỉ này sẽ được cấu hình cho máy tính và máy tính mặc định sẽ gửi
gói tin đến địa chỉ này để tiếp tục đi đến nơi khác.
DG phải cùng lớp mạng với địa chỉ IP của thiết bị được cấu hình DG.
Bất kì khi nào Host 1 và Host 2 cần gửi thông tin đi, thì các thông tin đó sẽ được gửi đến địa
chỉ Default gateway đã được cấu hình trên Host và Default gateway sẽ chuyển tiếp các
thông tin này đến các thiết bị kế tiếp.
Những quản trị viên mạng (network administrators) quản lý default gateway IP address và
họ thường sử dụng địa chỉ IP khả dụng đầu tiên hoặc cuối cùng trong mạng. Hãy cùng xét
ví dụ: mạng 10.0.0./24, phạm vi mạng này từ địa chỉ IP 10.0.0.1 đến 10.0.0.254. Use case
phổ biến là sử dụng 10.0.0.1 làm default gateway IP address.
Phần 2: Cấu hình, áp dụng và kiểm tra IPv6 ACL thứ hai.
Nhật ký chỉ ra rằng một máy tính trên mạng 2001: DB8: 1: 11 :: 0/64 liên tục yêu cầu một trang
web. Điều này đang tạo ra một cuộc tấn công từ chối dịch vụ (DoS) đối với Server3. Cho đến khi
máy khách có thể được xác định và làm sạch, bạn phải chặn truy cập HTTP và HTTPS vào mạng
đó bằng danh sách truy cập.
Cấu hình ACL có tên BLOCK_HTTP trên R1 với các câu lệnh sau.
Áp dụng ACL trên cổng gần nhất với nguồn lưu lượng sẽ bị chặn
Kiểm tra rằng ACL đang hoạt động như các cấu hình theo yêu cầu của Lab:
o Mở trình duyệt web của PC1 sang http: // 2001: DB8: 1: 30 :: 30 hoặc https: // 2001:
DB8: 1: 30 :: 30. Trang web sẽ xuất hiện.
o Mở trình duyệt web của PC2 sang http: // 2001: DB8: 1: 30 :: 30 hoặc https: // 2001:
DB8: 1: 30 :: 30. Trang web nên bị chặn.
o Ping từ PC2 đến 2001: DB8: 1: 30 :: 30. Ping nên thành công.
Phần 2: Cấu hình, áp dụng và kiểm tra ACL IPv6 thứ hai.
Các nhật ký hiện chỉ ra rằng máy chủ của bạn đang bị tấn công từ nhiều địa chỉ IPv6 khác nhau
trong một cuộc tấn công từ chối dịch vụ phân tán (DDoS). Bạn phải lọc các yêu cầu ping ICMP
đến máy chủ của bạn.
Cấu hình ACL có tên BLOCK_ICMP trên R3 với các tuyên bố sau:
a. Chặn tất cả lưu lượng ICMP từ máy nào đến máy chủ.
Trong trường hợp này, lưu lượng ICMP có thể đến từ bất kỳ nguồn nào. Để đảm bảo lưu
lượng ICMP bị chặn, bất kể nguồn của nó hay bất kỳ thay đổi nào xảy ra đối với cấu trúc
liên kết mạng, hãy áp dụng ACL đích gần nhất nó muốn tới.
Bước 3: Kiểm tra ACL rằng các chức năng danh sách truy cập hoạt động thế nào?
Mở trình duyệt web của PC1 tới http: // 2001: DB8: 1: 30 :: 30 hoặc https: // 2001: DB8:
1: 30 :: 30. Trang web sẽ hiển thị.