Tweet
Khi nhắc đến Access Control List (ACL) thì đây chính là công cụ quan trọng để kiểm soát lưu lượng trong mạng Cisco. Nhưng ACL cũng có nhiều loại, và nếu phân loại cơ bản thì có Standard ACL và Extended ACL. Nếu chưa phân biệt rõ, dễ cấu hình nhầm và dẫn đến kết quả không mong muốn. Hãy cùng đào sâu nhé.
1. Standard ACL
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
interface g0/0
ip access-group 10 in
Trong ví dụ này, tất cả gói tin có nguồn từ mạng 192.168.10.0/24 sẽ bị chặn, bất kể đi đến đâu, chạy ứng dụng gì.
2. Extended ACL
access-list 101 permit tcp 192.168.10.0 0.0.0.255 host 172.16.1.100 eq 80
access-list 101 deny tcp 192.168.10.0 0.0.0.255 any eq 21
access-list 101 permit ip any any interface g0/0 ip access-group 101 in
Ở đây:
3. Numbered ACL vs Named ACL
ip access-list extended BLOCK_FTP deny tcp any any eq 21 permit ip any any
4. ACL cho IPv4 và IPv6
📝 Câu hỏi ôn tập
Hãy chọn 2 đáp án đúng:
1. Standard ACL
- Chỉ quan tâm đến địa chỉ IP nguồn trong gói tin.
- Không thể lọc dựa trên đích đến, giao thức hay port.
- Làm việc ở tầng IP (Layer 3), do đó không phân biệt được TCP, UDP, HTTP hay HTTPS.
- Dùng khi muốn chặn/cho phép toàn bộ lưu lượng từ một host hoặc một mạng cụ thể.
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
interface g0/0
ip access-group 10 in
Trong ví dụ này, tất cả gói tin có nguồn từ mạng 192.168.10.0/24 sẽ bị chặn, bất kể đi đến đâu, chạy ứng dụng gì.
2. Extended ACL
- Kiểm tra cả IP nguồn và IP đích.
- Có thể lọc theo protocol (TCP, UDP, ICMP, …) và port number.
- Cung cấp mức kiểm soát chi tiết và linh hoạt hơn.
access-list 101 permit tcp 192.168.10.0 0.0.0.255 host 172.16.1.100 eq 80
access-list 101 deny tcp 192.168.10.0 0.0.0.255 any eq 21
access-list 101 permit ip any any interface g0/0 ip access-group 101 in
Ở đây:
- Cho phép mạng 192.168.10.0/24 truy cập web (HTTP, port 80) đến host 172.16.1.100.
- Chặn FTP (port 21) từ cùng mạng này đến bất kỳ đích nào.
- Các lưu lượng khác vẫn được cho phép.
3. Numbered ACL vs Named ACL
- Numbered ACL: dùng số định danh.
- Standard ACL: số từ 1–99 hoặc 1300–1999.
- Extended ACL: số từ 100–199 hoặc 2000–2699.
- Named ACL: dùng tên mô tả thay vì số.
- Dễ quản lý hơn khi ACL phức tạp.
- Cho phép chỉnh sửa linh hoạt.
ip access-list extended BLOCK_FTP deny tcp any any eq 21 permit ip any any
4. ACL cho IPv4 và IPv6
- IPv4: có thể dùng cả numbered và named ACL.
- IPv6: chỉ hỗ trợ named ACL.
- Mỗi interface chỉ áp dụng được 1 ACL theo chiều in và 1 ACL theo chiều out cho mỗi protocol.
📝 Câu hỏi ôn tập
Hãy chọn 2 đáp án đúng:
- Extended IP ACLs có thể lọc nhiều loại traffic dựa trên cả địa chỉ IP nguồn và đích. ✅
- Named IP ACLs chỉ có thể cấu hình bằng chế độ named configuration mode. ❌ (thực ra có thể dùng cho cả standard và extended ACL).
- Numbered IP ACLs chỉ có thể dùng cho Standard ACLs. ❌ (sai, numbered ACLs dùng cho cả standard và extended).
- Standard access lists có thể lọc TCP traffic dựa trên địa chỉ IP đích. ❌ (Standard ACL chỉ lọc theo IP nguồn).
- Extended access lists có thể lọc traffic dựa trên port đích. ✅ (đúng, extended ACL lọc được cả port đích/lẫn port nguồn).
Attached Files