ACCESS CONTROL LIST LÀ GÌ

1. Kháiniệm

– Access Control List (ACL) tuyệt còn được gọi kiểm rà tróc nã cập. Là một danh sách các điều kiện được áp đặt vào những cổng của router để lọc các gói tin đi qua nó. Danh sách này chỉ ra mang đến router biết loại dữ liệu như thế nào được cho phép (allow) vàloại dữ liệu như thế nào bị hủy bỏ (deny). Sự cho phép và huỷ bỏ này còn có thể được kiểm tra dựa vào địa chỉ nguồn, địa chỉ đích, giao thức hoặc chỉ số cổng.

Bạn đang xem: Access control list là gì

– Thông qua sự bảo mật cho các thiết bị ở tầng 3 (layer 3) mà lại nó kiểm thẩm tra khả năng kết nối từ thiết bị định tuyến đến các thiết bị không giống .

2. Phân loại

– Standard ACL:

Dải số cho Standard ACL từ 1 – 99Có thể chặn được Network, Host và SubnetChặn toàn bộ những dịch vụThực hiện tại điểm gần nhất với đíchCơ chế lọc được thực hiện dựa bên trên địa chỉ IP nguồn

– Extended ACL :

Dải số mang lại Extended ACL từ 100-199Có thể đồng ý hoặc chặn bất cứ một Network, Host, Subnet, hoặc cả dịch vụĐược lựa chọn các dịch vụ muốn chặnCơ chế lọc được dựa trên địa chỉ IPhường. nguồn, IP đích, giao thức, cổng

3. Cách thức hoạt động của Access Control List (ACL)

– Access Control List (ACL) sẽ thực hiện việc kiểm tra theo trình tự của những điều kiện trong danh sách cấu hình. Nếu tất cả một điều kiện được so khớp vào danh sách thì nó sẽ thực hiện hành động tương ứng vào điều kiện đó, với các điều kiện còn lại sẽ ko được kiểm tra nữa. Trường hợp tất cả các điều kiện vào list đều không khớp thì một câu lệnh mặc định “deny any” được thực hiện, nó tất cả nghĩa là điều kiện cuối thuộc ngầm định vào một ACL mặc định sẽ là cấm tất cả. Vì vậy, trong cầu hình ACL cần phải bao gồm ít nhất một câu lệnh bao gồm hành động là “permit”.

– Khi gồm gói tin đi vào một cổng, router sẽ kiểm tra xem bao gồm ACL nào được đặt trên cổng đó hay là không để kiểm tra, nếu gồm thì các gói tin sẽ được kiểm tra với những phải có điều kiện vào danh sách. Nếu gói tin đó được cho phép bởi ACL, nó sẽ tiếp tục được kiểm tra vào bảng định tuyến để quyết định chọn cổng ra để đi đến đích.

– Tiếp đó, router sẽ kiểm tra xem trên cổng dữ liệu chuyển ra gồm đặt ACL hay không. Nếu không thì gói tin đó gồm thể sẽ được gửi tới mạng đích. Nếu tất cả ACL thì nó sẽ kiểm tra với những điều kiện trong danh sách ACL đó.

– Danh sách điều khiển tróc nã cập (ACL – Access Control List) có thể chấp nhận được knhì báo những địa chỉ làm sao được chuyển đổi. Bạn đề nghị nhớ là kết thúc một ACL luôn có câu lệnh ẩn cấm tuyệt đối để tách những kết quả không dự tính được Lúc một ACL cóvượt nhiều điều kiện được cho phép. Cisteo khuyến cáo là không nên sử dụng điều kiện được cho phép tất cả “permit any” trong ACL sử dụng mang lại NAT do câu lệnh này làm hao tốn quá nhiều tài ngulặng của Router và vày đó tất cả thể tạo ra sự cố mạng.

Xem thêm: Sức Mạnh Vô Biên Của Lãi Kép Là Gì ? Sức Mạnh Của Nó Trong Đầu Tư Và Tiết Kiệm

4. Câu lệnh cấu hình Access Control List (ACL)

Để hiểu cách cấu hình ACL, cần phải hiểu một số thuật ngữ sau:

– “Wildcard mask” có 32 bit (0 & 1), chia thành 4 phần, mỗi phần có 8 bit, là tđê mê số được cần sử dụng xác định các bit nào sẽ được bỏ qua tuyệt buộc phải so trùng trong việc kiểm tra điều kiện. Bit “1‟ tất cả nghĩa là bỏ qua vị trí bit đó lúc đối chiếu cùng bit “0‟ xác định vị trí bit đó phải giống nhau. Mặc dù cấu trúc giống subnet mask nhưng bọn chúng hoạt động khác biệt (coi lại phần địa chỉ IP)

– Với Standard ACL, nếu không thêm “wildcard-mask” vào câu lệnh tạo ACL thì mặc định sẽ là 0.0.0.0

– “Wildthẻ mask” dùng mang lại một thiết bị tốt còn gọi là “wildcard-host” có dạng: 0.0.0.0 (kiểm tra tất cả những bit). khi kiểm tra ACL, nó sẽ kiểm tra tất cả những bit trong địa chỉ cần sử dụng để so khớp. Từ khóa “host” được gắng thế cho thuật ngữ này.

– Wildcard mask mang lại tất cả các thiết bị được gọi là wildthẻ “any” có dạng: 255.255.255.255 (không kiểm tra tất cả những bit). Từ khóa “any” được chũm thế mang lại thuật ngữ này.

**Lưu ý: Khi áp dụng Access Control List (ACL) trên một cổng, phải xác định ACL đó được cần sử dụng đến luồng dữ liệu vào (inbound) xuất xắc ra (outbound). Chiều của luồng dữ liệu được xác định bên trên cổng của router.

Cấu hình của Standard CL

Standard CL” kiểm tra điều kiện dựa vào địa chỉ nguồn trong số gói tin cùng thực hiện hành động cấm hoặc cho phép tất cả những lưu lượng từ một thiết bị xuất xắc một mạng xác định như thế nào đó.

*
- Chương 5)" width="733" height="399" title="Tìm hiểu về ACL (Access Control List) (Series tự học CCNA - Chương 5)" data-eio="l">

Router(config)#access-list access-list-number> deny protocol> source-address> source-wildcard> destinationaddresss> destination-wildcard> operation>

VD: R1(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.20 eq 20

Để kiểm tra cấu hình ACL, sử dụng câu lệnh

Router#show access-danh mục name

5. Kết luận

Access Control List (ACL) gồm thể xem như là một tường lửa nhỏ định ra một tập luật để chặn các truy nã cập bất hợp pháp được cấu hình trên những router.

ACL được chia thành nhị loại: standard ACL cùng Extended ACL. Trong đó, standard ACL thường được đặt ở gần đích, còn Extended ACL thường đặt ở gần nguồn cần cấm luồng dữ liệu.