Tweet
🎯 Access Control List (ACL) – Tường lửa đơn giản nhưng cực kỳ mạnh mẽ trong định tuyến và bảo mật mạng
Trong thế giới mạng hiện đại, khi nhắc đến Access Control List (ACL), người ta không chỉ nghĩ đến khả năng lọc gói tin như một firewall cơ bản. ACL ngày nay đóng vai trò xương sống trong rất nhiều tính năng mạng tiên tiến: từ phân loại gói tin cho QoS, đến định danh mạng trong giao thức định tuyến, và tất nhiên, bảo vệ lưu lượng truy cập không mong muốn.
🧱 ACL được tạo thành từ gì?
Một ACL được xây dựng từ các dòng ACE (Access Control Entry), và mỗi ACE gồm:
🔍 ACL sẽ kiểm tra các gói từ trên xuống (theo thứ tự sequence number). Khi gặp một dòng phù hợp đầu tiên, ACL thực hiện hành động tương ứng và dừng kiểm tra.
💣 Lưu ý quan trọng: Cuối mỗi ACL luôn có một dòng implicit deny all, tức là mặc định chặn mọi thứ không khớp ở trên. Nếu bạn quên dòng permit, bạn có thể tự khóa mình ra khỏi thiết bị!
✳️ Hai loại ACL chính:
🎯 ACL đặt càng gần nguồn thì càng hiệu quả – đặc biệt với extended ACL.
🔧 Cấu hình Standard ACL – Cơ bản nhưng không kém phần nguy hiểm
Bước 1: Định nghĩa ACL
R1(config)# ip access-list standard BLOCKED_USERS
Bước 2: Thêm ACE
R1(config-std-nacl)# 10 deny 192.168.10.0 0.0.0.255 R1(config-std-nacl)# 20 permit any
🔖 Trong đó:
📌 Kinh nghiệm thực chiến:
✅ Sắp xếp thứ tự ACE cực kỳ quan trọng: dòng deny sai vị trí có thể chặn luôn lưu lượng hợp lệ.
✅ Không nên dùng lệnh access-list dạng số kiểu cũ vì không thể xóa riêng từng ACE → phải xóa cả ACL.
✅ Chừa khoảng sequence (10, 20, 30...) để sau này dễ chèn thêm dòng mới.
✅ Luôn kiểm tra kỹ với lệnh show access-lists hoặc show ip interface trước khi áp dụng!
Ví dụ thực tế (Standard ACL):
bash
Copy
Edit
ip access-list standard VPN_FILTER 10 permit host 192.168.1.100 20 permit 10.0.0.0 0.0.0.255 30 deny any
🎯 ACL này chỉ cho phép truy cập từ 192.168.1.100 và mạng 10.0.0.0/24, còn lại bị chặn.
📚 Tóm lại:
ACL – tuy là khái niệm “cổ điển” trong thiết bị mạng Cisco – nhưng vẫn là công cụ vô cùng linh hoạt và mạnh mẽ nếu bạn hiểu rõ và vận dụng đúng cách. Trong thời đại SD-WAN, Fabric, Zero Trust, ACL vẫn là lớp đầu tiên để phân loại và kiểm soát lưu lượng, đóng vai trò cực kỳ quan trọng cho cả hiệu năng lẫn bảo mật.
Trong thế giới mạng hiện đại, khi nhắc đến Access Control List (ACL), người ta không chỉ nghĩ đến khả năng lọc gói tin như một firewall cơ bản. ACL ngày nay đóng vai trò xương sống trong rất nhiều tính năng mạng tiên tiến: từ phân loại gói tin cho QoS, đến định danh mạng trong giao thức định tuyến, và tất nhiên, bảo vệ lưu lượng truy cập không mong muốn.
🧱 ACL được tạo thành từ gì?
Một ACL được xây dựng từ các dòng ACE (Access Control Entry), và mỗi ACE gồm:
- Hành động: permit (cho phép) hoặc deny (từ chối)
- Tiêu chí phân loại gói tin: địa chỉ nguồn, đích, giao thức, cổng...
🔍 ACL sẽ kiểm tra các gói từ trên xuống (theo thứ tự sequence number). Khi gặp một dòng phù hợp đầu tiên, ACL thực hiện hành động tương ứng và dừng kiểm tra.
💣 Lưu ý quan trọng: Cuối mỗi ACL luôn có một dòng implicit deny all, tức là mặc định chặn mọi thứ không khớp ở trên. Nếu bạn quên dòng permit, bạn có thể tự khóa mình ra khỏi thiết bị!
✳️ Hai loại ACL chính:
| Standard ACL | Chỉ theo địa chỉ IP nguồn | Số từ 1–99, 1300–1999 hoặc tên ACL |
| Extended ACL | Phân loại theo IP nguồn, đích, protocol, port... | Số từ 100–199, 2000–2699 hoặc tên ACL |
🎯 ACL đặt càng gần nguồn thì càng hiệu quả – đặc biệt với extended ACL.
🔧 Cấu hình Standard ACL – Cơ bản nhưng không kém phần nguy hiểm
Bước 1: Định nghĩa ACL
R1(config)# ip access-list standard BLOCKED_USERS
Bước 2: Thêm ACE
R1(config-std-nacl)# 10 deny 192.168.10.0 0.0.0.255 R1(config-std-nacl)# 20 permit any
🔖 Trong đó:
- deny: chặn lưu lượng
- 192.168.10.0 0.0.0.255: tương đương /24
- permit any: cho phép mọi thứ còn lại
- host 192.168.1.1 → tương đương /32
- any → tương đương 0.0.0.0 0.0.0.0
📌 Kinh nghiệm thực chiến:
✅ Sắp xếp thứ tự ACE cực kỳ quan trọng: dòng deny sai vị trí có thể chặn luôn lưu lượng hợp lệ.
✅ Không nên dùng lệnh access-list dạng số kiểu cũ vì không thể xóa riêng từng ACE → phải xóa cả ACL.
✅ Chừa khoảng sequence (10, 20, 30...) để sau này dễ chèn thêm dòng mới.
✅ Luôn kiểm tra kỹ với lệnh show access-lists hoặc show ip interface trước khi áp dụng!
Ví dụ thực tế (Standard ACL):
bash
Copy
Edit
ip access-list standard VPN_FILTER 10 permit host 192.168.1.100 20 permit 10.0.0.0 0.0.0.255 30 deny any
🎯 ACL này chỉ cho phép truy cập từ 192.168.1.100 và mạng 10.0.0.0/24, còn lại bị chặn.
📚 Tóm lại:
ACL – tuy là khái niệm “cổ điển” trong thiết bị mạng Cisco – nhưng vẫn là công cụ vô cùng linh hoạt và mạnh mẽ nếu bạn hiểu rõ và vận dụng đúng cách. Trong thời đại SD-WAN, Fabric, Zero Trust, ACL vẫn là lớp đầu tiên để phân loại và kiểm soát lưu lượng, đóng vai trò cực kỳ quan trọng cho cả hiệu năng lẫn bảo mật.