Tweet
Trong bài này VnPro sẽ giúp các bạn phân biệt rõ cách kiểm tra, chỉnh sửa và xóa ACL, đồng thời chia sẻ kinh nghiệm thực tế khi làm lab cũng như ngoài đời thật.
1. Kiểm tra ACL hiện có
Cisco IOS cung cấp một số lệnh để kiểm tra ACL:
Ví dụ:
RouterX# show access-lists 1 Standard IP access list 1 10 deny host 172.16.3.3 20 permit 172.16.0.0 0.0.255.255
RouterX# show access-lists 101
Extended IP access list 101 10 deny tcp 172.16.3.0 0.0.0.255 any eq 22
20 deny tcp 172.16.3.0 0.0.0.255 any eq telnet
30 permit ip 172.16.3.0 0.0.0.255 any
Khi cần xem ACL theo đúng cú pháp cấu hình để dễ copy – paste lại, anh em dùng:
show running-config | include access-list
2. Xóa ACL
Có hai cách:
⚠️ Lưu ý: Với numbered ACL, không thể xóa riêng từng dòng. Nếu gõ nhầm lệnh no access-list 15 permit host 192.168.1.1 → toàn bộ access-list số 15 sẽ bị xóa sạch.
3. Chỉnh sửa ACL
a. Numbered ACL
Rất bất tiện. Không thể thêm/bớt một dòng trực tiếp. Phải:
Thuận tiện hơn nhiều:
4. Thực tế khi triển khai
Câu hỏi ôn tập
Câu hỏi: Phát biểu nào mô tả đúng về named configuration method?
👉 Đáp án đúng: D – Named ACL cho phép thêm, xóa từng entry theo sequence number mà không ảnh hưởng toàn bộ ACL.
1. Kiểm tra ACL hiện có
Cisco IOS cung cấp một số lệnh để kiểm tra ACL:
- show access-lists
Hiển thị tất cả ACL trên thiết bị. Có thể kèm số hoặc tên để lọc ra một ACL cụ thể. - show ip access-lists
Hiển thị ACL IPv4 (standard hoặc extended).
Ví dụ:
RouterX# show access-lists 1 Standard IP access list 1 10 deny host 172.16.3.3 20 permit 172.16.0.0 0.0.255.255
RouterX# show access-lists 101
Extended IP access list 101 10 deny tcp 172.16.3.0 0.0.0.255 any eq 22
20 deny tcp 172.16.3.0 0.0.0.255 any eq telnet
30 permit ip 172.16.3.0 0.0.0.255 any
Khi cần xem ACL theo đúng cú pháp cấu hình để dễ copy – paste lại, anh em dùng:
show running-config | include access-list
2. Xóa ACL
Có hai cách:
- Numbered ACL:
no access-list 101 - Named ACL:
no ip access-list standard ACL_NAME no ip access-list extended ACL_NAME
⚠️ Lưu ý: Với numbered ACL, không thể xóa riêng từng dòng. Nếu gõ nhầm lệnh no access-list 15 permit host 192.168.1.1 → toàn bộ access-list số 15 sẽ bị xóa sạch.
3. Chỉnh sửa ACL
a. Numbered ACL
Rất bất tiện. Không thể thêm/bớt một dòng trực tiếp. Phải:
- Copy toàn bộ ACL ra (dùng show running-config).
- Chỉnh sửa trong editor.
- Xóa ACL cũ (no access-list ...).
- Paste ACL mới vào.
Thuận tiện hơn nhiều:
- Vào chế độ cấu hình ACL:
RouterX(config)# ip access-list standard ACL_NAME - Thêm rule với số sequence:
RouterX(config-std-nacl)# 15 deny host 172.16.4.4
→ Rule này sẽ chèn ở giữa dòng 10 và 20. ACL sau khi sửa:
Standard IP access list 1 10 deny host 172.16.3.3 15 deny host 172.16.4.4 20 permit 172.16.0.0 0.0.255.255 - Xóa rule theo sequence:
RouterX(config-std-nacl)# no 15 - Nếu muốn resequence lại cho gọn (về bội số của 10):
RouterX(config)# ip access-list resequence ACL_NAME 10 10
4. Thực tế khi triển khai
- Với dự án lớn, mình luôn dùng Named ACL để dễ maintain.
- Nên đặt sequence cách nhau 10 (10, 20, 30...) để chừa chỗ chèn rule sau này.
- Trước khi xóa hay sửa ACL trong production, nhớ copy config ra để rollback.
Câu hỏi ôn tập
Câu hỏi: Phát biểu nào mô tả đúng về named configuration method?
- A. Chỉ có thể thêm một ACL statement riêng lẻ.
- B. Chỉ có thể xóa một ACL statement riêng lẻ.
- C. Chỉ có thể chỉnh sửa một ACL entry riêng lẻ.
- D. Có thể thêm và xóa một ACL entry riêng lẻ.
👉 Đáp án đúng: D – Named ACL cho phép thêm, xóa từng entry theo sequence number mà không ảnh hưởng toàn bộ ACL.
Attached Files