Tweet
Hãy cùng VnPro ôn lại cách cấu hình Standard IPv4 ACLs và phân tích một ví dụ thực tế nhé.
1. Cấu hình Standard Numbered IPv4 ACL
Lệnh cơ bản:
Router(config)# access-list access-list-number permit|deny source [wildcard] | host {address|name} | any
Ví dụ:
RouterX(config)# access-list 1 deny host 172.16.3.3 RouterX(config)# access-list 1 permit 172.16.0.0 0.0.255.255
➡ ACL này sẽ chặn riêng host 172.16.3.3 nhưng cho phép toàn bộ mạng 172.16.0.0/16 còn lại.
Lưu ý: Nếu ACL không có lệnh permit, mặc định cuối ACL luôn có implicit deny any → tất cả bị chặn.
2. Cấu hình Standard Named IPv4 ACL
Lệnh cơ bản:
Router(config)# ip access-list standard ACL-NAME Router(config-std-nacl)# [seq-number] permit|deny source [wildcard]
Ví dụ cùng tình huống trên nhưng dùng named ACL:
RouterX(config)# ip access-list standard ACL-STUDENT RouterX(config-std-nacl)# deny host 172.16.3.3 RouterX(config-std-nacl)# permit 172.16.0.0 0.0.255.255
➡ Ưu điểm: dễ đọc, dễ hiểu mục đích ACL, dễ chỉnh sửa thứ tự lệnh nhờ số thứ tự.
3. Thứ tự và xử lý ACL
Ví dụ: đặt deny cho một host trước permit cho cả network.
4. Câu hỏi ôn tập
Giả sử cấu hình sau:
Router(config)# access-list 20 permit 192.168.1.1
Router(config)# access-list 20 deny 192.168.1.0 0.0.0.255
Router(config)# access-list 20 permit 192.0.0.0 0.255.255.255
Theo logic ACL:
👉 Kết quả: Tất cả trong 192.168.1.0/24 sẽ bị chặn ngoại trừ host 192.168.1.1. Các host khác trong dải 192.0.0.0/8 sẽ được cho phép.
✔ Đáp án đúng:
Everything within 192.168.1.0 except 192.168.1.1 will be denied. Other hosts within 192.0.0.0/8 will be permitted.
Các bạn thử tự suy nghĩ: Nếu mình đặt permit 192.0.0.0 0.255.255.255 lên trước rule deny, kết quả sẽ thay đổi thế nào? Đây là ví dụ kinh điển chứng minh tầm quan trọng của thứ tự ACL.
1. Cấu hình Standard Numbered IPv4 ACL
Lệnh cơ bản:
Router(config)# access-list access-list-number permit|deny source [wildcard] | host {address|name} | any
- Số ACL chuẩn hợp lệ: 1–99 hoặc 1300–1999.
- Tham số cuối cùng luôn là địa chỉ nguồn (vì Standard ACL chỉ lọc theo IP nguồn).
Ví dụ:
RouterX(config)# access-list 1 deny host 172.16.3.3 RouterX(config)# access-list 1 permit 172.16.0.0 0.0.255.255
➡ ACL này sẽ chặn riêng host 172.16.3.3 nhưng cho phép toàn bộ mạng 172.16.0.0/16 còn lại.
Lưu ý: Nếu ACL không có lệnh permit, mặc định cuối ACL luôn có implicit deny any → tất cả bị chặn.
2. Cấu hình Standard Named IPv4 ACL
Lệnh cơ bản:
Router(config)# ip access-list standard ACL-NAME Router(config-std-nacl)# [seq-number] permit|deny source [wildcard]
- ACL-NAME: có thể là chữ hoặc số, nhưng nếu dùng số thì phải nằm trong range chuẩn (1–99, 1300–1999).
- seq-number: Cisco tự đánh số mặc định là 10, 20, 30… giúp dễ chèn thêm rule.
Ví dụ cùng tình huống trên nhưng dùng named ACL:
RouterX(config)# ip access-list standard ACL-STUDENT RouterX(config-std-nacl)# deny host 172.16.3.3 RouterX(config-std-nacl)# permit 172.16.0.0 0.0.255.255
➡ Ưu điểm: dễ đọc, dễ hiểu mục đích ACL, dễ chỉnh sửa thứ tự lệnh nhờ số thứ tự.
3. Thứ tự và xử lý ACL
- ACL luôn đọc từ trên xuống dưới.
- Khi gặp dòng đầu tiên match → dừng lại. Các dòng sau sẽ không được kiểm tra.
- Do đó, các rule chi tiết (host cụ thể) nên đặt trước rule tổng quát (network).
Ví dụ: đặt deny cho một host trước permit cho cả network.
4. Câu hỏi ôn tập
Giả sử cấu hình sau:
Router(config)# access-list 20 permit 192.168.1.1
Router(config)# access-list 20 deny 192.168.1.0 0.0.0.255
Router(config)# access-list 20 permit 192.0.0.0 0.255.255.255
Theo logic ACL:
- Dòng 1 → chỉ cho phép host 192.168.1.1.
- Dòng 2 → chặn toàn bộ 192.168.1.0/24 (ngoại trừ 192.168.1.1 đã match trước).
- Dòng 3 → cho phép toàn bộ dải 192.x.x.x (192.0.0.0/8).
- Cuối cùng implicit deny any → chặn toàn bộ ngoài dải 192.0.0.0/8.
👉 Kết quả: Tất cả trong 192.168.1.0/24 sẽ bị chặn ngoại trừ host 192.168.1.1. Các host khác trong dải 192.0.0.0/8 sẽ được cho phép.
✔ Đáp án đúng:
Everything within 192.168.1.0 except 192.168.1.1 will be denied. Other hosts within 192.0.0.0/8 will be permitted.
Các bạn thử tự suy nghĩ: Nếu mình đặt permit 192.0.0.0 0.255.255.255 lên trước rule deny, kết quả sẽ thay đổi thế nào? Đây là ví dụ kinh điển chứng minh tầm quan trọng của thứ tự ACL.
Attached Files