CHƯƠNG 7

381
Danh sách kiểm tra truy cập (ACL)
Giới thiệu

382
 Danh sách kiểm tra truy cập (ACL)
Giới thiệu

ACL là một danh sách các điều kiện được áp dụng cho lưu lượng đi qua một cổng
của router.
Danh sách này cho biết loại gói nào được chấp nhận hay bị từ chối.
ACL được sử dụng để quản lý lưu lượng mạng và bảo vệ truy cập ra hoặc vào hệ
thống mạng.
ACL kiểm tra các gói dựa vào địa chỉ nguồn và đích, giao thức, số port, hướng
di chuyển của gói để quyết định chuyển gói đi hay hủy bỏ gói.

383
Danh sách kiểm tra truy cập (ACL)
Giới thiệu

384
Danh sách kiểm tra truy cập (ACL)
Giới thiệu

385
Danh sách kiểm tra truy cập (ACL)
Công dụng của ACL

Giới hạn lưu lượng mạng để tăng hiệu

suất hoạt động của mạng.
Ví dụ cấm lưu lượng truyền Video.
Kiểm tra dòng lưu lượng, quyết định cho
phép hoặc cấm loại lưu lượng nào được
đi qua.
Ví dụ lưu lượng email, telnet.
Bảo vệ truy cập.
Chỉ cho phép user truy cập vào một loại tập
tin nào đó, vào vùng mạng nào đó trong hệ
thống.
386
Danh sách kiểm tra truy cập (ACL)
Hoạt động của ACL

387
 Danh sách kiểm tra truy cập (ACL)
Phân loại

ACL cơ bản (1-99): thực hiện kiểm tra địa chỉ IP nguồn của gói
dữ liệu.
ACL mở rộng (100-199): kiểm tra địa chỉ nguồn và đích của gói
dữ liệu, kiểm tra giao thức lẫn số port.
ACL đặt tên (Name): từ phiên bản Cisco IOS 11.2 trở đi, cho
phép tạo ACL cơ bản và mở rộng theo tên thay vì theo số.
388
 Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản

Cú pháp lệnh:

Router(config)#access-list access-list-number {deny | permit}

source [source-wildcard ]
………………..

Router(config-if)#{protocol} access-group access-list-number

{in | out}

Hủy một ACL:

Router(config)#no access-list access-list-number

389
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản

390
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản

391
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản

392
Danh sách kiểm tra truy cập (ACL)
Tạo ACL cơ bản

393
Danh sách kiểm tra truy cập (ACL)
Một số nguyên tắc cơ bản khi tạo ACL

Một ACL cho một giao thức trên một

chiều của một cổng.
ACL cơ bản nên đặt ở vị trí gần mạng
đích nhất.
ACL mở rộng nên đặt ở vị trí gần mạng
nguồn nhất.
Các câu lệnh trong một ACL sẽ được kiểm
tra tuần tự từ trên xuống cho đến khi có
một câu lệnh được thoả, nếu không thì
gói dữ liệu đó cũng sẽ bị từ chối.
394
Danh sách kiểm tra truy cập (ACL)
Một số nguyên tắc cơ bản khi tạo ACL

Có một câu lệnh từ chối tuyệt đối nằm ẩn ở cuối

cùng trong ACL.
Các câu lệnh trong ACL nên xếp từ chi tiết đến
tổng quát.
Trong một câu lệnh ACL, điều kiện được kiểm
tra trước rồi mới kiểm tra tới việc cho phép hay
từ chối.
Nên sử dụng công cụ soạn thảo văn bản để
soạn trước các câu lệnh ACL.
Dòng lệnh mới luôn được thêm vào cuối danh
sách ACL.
Lệnh no access-list x sẽ xóa tòan bộ ACL x.
395
Danh sách kiểm tra truy cập (ACL)
Wildcard mask

396
 Danh sách kiểm tra truy cập (ACL)
Wildcard mask

MASK(192.168.1.1) MatchingIP

0.0.0.0(host) 192.168.1.1

0.0.0.255 192.168.1.0-255

0.0.255.255 192.168.0-255.0-255

0.255.255.255 192.0-255.0-255.0-255

255.255.255.255 0-255.0-255.0-255.0-255(any)

397
Danh sách kiểm tra truy cập (ACL)
Wildcard mask

398
 Danh sách kiểm tra truy cập (ACL)
Từ khóa Any và Host

Access-list 1 permit 0.0.0.0 255.255.255.255

hay
permit any

Access-list 1 permit 200.0.0.9 0.0.0.0

hay
permit host 200.0.0.9
399
Danh sách kiểm tra truy cập (ACL)
Từ khóa Any và Host

400
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng

401
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng

402
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng

403
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng

404
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng

405
Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng

406
 Danh sách kiểm tra truy cập (ACL)
Tạo ACL mở rộng
192.168.0.9
192.168.0.5 255.255.255.252
255.255.255.252
S0 S0
S1
192.168.0.33
S0 192.168.0.6 192.168.0.10 E0 255.255.255.240
192.168.0.17 E0 255.255.255.252 255.255.255.252
255.255.255.248

192.168.0.34
255.255.255.240
A B
192.168.0.18
255.255.255.248

192.168.0.34 should be denied FTP of 192.168.0.18 192.168.0.18 should be denied website of 192.168.0.34

On Router R3
On Router R1 Config# Access-list 100 deny tcp 192.168. 0.18 0.0.0.0 192.168.0.34
0.0.0.0 eq 80
Config# Access-list 100 deny tcp 192.168.0.34 0.0.0.0 Config# access-list 100 permit IP any any
192.168.0.18 0.0.0.0 eq 21
Config#int s0
Config# access-list 100 permit IP any any Config-if# ip access-group 100 IN

Config#int s0 407
Config-if# ip access-group 100 IN
Danh sách kiểm tra truy cập (ACL)
Tạo ACL đặt tên

408
Danh sách kiểm tra truy cập (ACL)
Tạo ACL đặt tên

409
Danh sách kiểm tra truy cập (ACL)
Tạo ACL đặt tên

410
Danh sách kiểm tra truy cập (ACL)
Kiểm tra ACL

411
Danh sách kiểm tra truy cập (ACL)
Kiểm tra ACL

412
Danh sách kiểm tra truy cập (ACL)
Xử lý sự cố ACL

413
Danh sách kiểm tra truy cập (ACL)
Xử lý sự cố ACL

30
per
mit
ip
any
any

414
UDP
Danh sách kiểm tra truy cập (ACL)
Xử lý sự cố ACL

415
Danh sách kiểm tra truy cập (ACL)
Xử lý sự cố ACL

416
Danh sách kiểm tra truy cập (ACL)
Xử lý sự cố ACL

417
Danh sách kiểm tra truy cập (ACL)
Vị trí đặt ACL

Source
10.0.0.0/8

Destination 172.16.0.0/16

418
Danh sách kiểm tra truy cập (ACL)
Vị trí đặt ACL

419
Danh sách kiểm tra truy cập (ACL)
Vị trí đặt ACL

420