Khái niệm Access Control List (ACL)

Comments

Access control list (ACL) là một danh sách các câu lệnh được áp đặt vào các cổng (Interface) của thiết bị mạng. Danh sách này chỉ ra loại packet nào được chấp nhận và loại packet nào bị hủy bỏ. Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

Các loại ACL

  • Standard ACL: Loại ACL này chỉ đề cập đến source IP của gói tin IP, không đề cập thêm bất cứ thông tin nào khác của gói tin.
  • Extended ACL: Loại ACL này đề cập đến không chỉ source IP mà còn cả destination IP, source port, destination port, giao thức nền (TCP, UDP, ICMP…) và một số thông số khác của gói tin IP.
  • Các loại khác: Bên cạnh hai loại ACL chính nói đã đến ở trên, còn nhiều loại ACL khác có thể được sử dụng trong nhiều tình huống khác nhau như: Reflexive ACL, Dynamic ACL, Timed based ACL…

Nguyên tắc hoạt động của Access list

Access – list là một danh sách gồm nhiều dòng. Khi được truy xuất, ACL sẽ được đọc và thi hành từng dòng một từ trên xuống dưới, dòng nào chứa thông tin khớp với thông tin của gói tin đang được xem xét, dòng ấy sẽ được thi hành ngay và các dòng còn lại sẽ được bỏ qua.

Một nguyên tắc nữa cần lưu ý là các dòng mới được khai báo sẽ được tự động thêm vào cuối ACL, tuy nhiên dòng cuối cùng thực sự của một ACL luôn là một dòng ngầm định “deny” tất cả, có nghĩa là nếu gói tin không match bất cứ dòng nào đã khai báo của ACL, nó sẽ bị deny.

Cấu hình

Standard Access-list

Router(config)#access-list n {permit | deny} source.IP wildcard-mask

Router(config-if)#ip access-group n {in | out}

Extended Access-list

Router(config)#access-list n {permit | deny} protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port​

Router(config-if)#ip access-group n {in | out}Router(config-if)#ip access-group n {in | out}

Thông tin thêm

  • n > 99
  • eq = 80
  • lt < 80
  • gt > 80

Ví dụ

Standard Access-list

Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255
Router(config)#access-list 1 permit any
Router(config)#interface fastethernet 0/0
Router(config-in)#ip access-group in

Extended Access-list

Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
Router(config)#access-list 101 permit any any
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group out

Tham khảo NTPS, vnpro, How master CCNA

TRƯƠNG THÁI KIỆT

TRƯƠNG THÁI KIỆT

https://thaikiet.com

thaikiet.com là nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Mạng Máy Tính, Quản Trị Hệ Thống và Bảo Mật. Với tiêu chí là cùng chia sẽ cùng thành công!

Mail: [email protected]

Bài viết cùng chuyên mục

Phân biệt cáp thẳng và cáp chéo

Phân biệt cáp thẳng và cáp chéo

Cáp mạng hay cáp Ethernet có 2 dạng khi đi dây đó là: cáp thẳng (straight-through) và cáp chéo (crossover). Hai loại cáp này được sử dụng với mục đích kết nối khác nhau? Trước...

SD-WAN là gì? Những Tính năng nổi bạt của SD-WAN

SD-WAN là gì? Những Tính năng nổi bạt của SD-WAN

SD WAN là gì? SD WAN là từ viết tắt của software-defined Wide Area Network. SD WAN là một kiến trúc mạng ảo cho phép doanh nghiệp nâng cao hiệu quả của các dịch vụ mạng truyền dẫn, chẳng hạn như...

Wifi 6 là gì? Ưu điểm của Wifi 6?

Wifi 6 là gì? Ưu điểm của Wifi 6?

Wifi 6 được xem là thế hệ mang wifi mới nhất, cải thiện tốc độ tốt hơn so với các kết nối mạng không dây với các thiết bị điện tử như điện thoại, máy tính bảng,… trước đây. Vậy wifi 6 là gì? Có gì...

0 Comments

0 Lời bình

Gửi Lời bình

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *