Access control list (ACL) là một danh sách các câu lệnh được áp đặt vào các cổng (Interface) của thiết bị mạng. Danh sách này chỉ ra loại packet nào được chấp nhận và loại packet nào bị hủy bỏ. Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

Các loại ACL

• Standard ACL: Loại ACL này chỉ đề cập đến source IP của gói tin IP, không đề cập thêm bất cứ thông tin nào khác của gói tin.

• Extended ACL: Loại ACL này đề cập đến không chỉ source IP mà còn cả destination IP, source port, destination port, giao thức nền (TCP, UDP, ICMP…) và một số thông số khác của gói tin IP.

• Các loại khác: Bên cạnh hai loại ACL chính nói đã đến ở trên, còn nhiều loại ACL khác có thể được sử dụng trong nhiều tình huống khác nhau như: Reflexive ACL, Dynamic ACL, Timed based ACL…

Nguyên tắc hoạt động của Access list

Access – list là một danh sách gồm nhiều dòng. Khi được truy xuất, ACL sẽ được đọc và thi hành từng dòng một từ trên xuống dưới, dòng nào chứa thông tin khớp với thông tin của gói tin đang được xem xét, dòng ấy sẽ được thi hành ngay và các dòng còn lại sẽ được bỏ qua.

Một nguyên tắc nữa cần lưu ý là các dòng mới được khai báo sẽ được tự động thêm vào cuối ACL, tuy nhiên dòng cuối cùng thực sự của một ACL luôn là một dòng ngầm định “deny” tất cả, có nghĩa là nếu gói tin không match bất cứ dòng nào đã khai báo của ACL, nó sẽ bị deny.

Cấu hình

Standard Access-list

Router(config)#access-list n {permit | deny} source.IP wildcard-mask

Router(config-if)#ip access-group n {in | out}

Extended Access-list

Router(config)#access-list n {permit | deny} protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port​

Router(config-if)#ip access-group n {in | out}Router(config-if)#ip access-group n {in | out}

Thông tin thêm

• n > 99
• eq = 80
• lt < 80
• gt > 80

Ví dụ

Standard Access-list

Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255
Router(config)#access-list 1 permit any
Router(config)#interface fastethernet 0/0
Router(config-in)#ip access-group in

Extended Access-list

Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
Router(config)#access-list 101 permit any any
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group out

Tham khảo NTPS, vnpro, How master CCNA