Tweet
Trong một hệ thống mạng, không phải mọi gói tin đều được chào đón. Có những luồng dữ liệu cần được ưu tiên, nhưng cũng có những truy cập phải bị chặn ngay từ “cửa ngõ”. Vậy làm sao để kiểm soát được ai được phép đi qua, ai phải dừng lại? Câu trả lời nằm ở Access-List (ACL) — “người gác cổng” thầm lặng của mạng máy tính. Chỉ với vài dòng lệnh cấu hình, ACL có thể quyết định toàn bộ hành vi truy cập, bảo vệ mạng trước nguy cơ xâm nhập và tối ưu lưu lượng truyền thông. Nhưng ACL hoạt động như thế nào, có những loại nào, và làm sao để áp dụng hiệu quả trong các tình huống thực tế? Hãy cùng khám phá trong bài viết này.
1. Giới thiệu
ACL là một danh sách các điều kiện được áp đặt vào các cổng của Router để lọc các gói tin đi qua nó. Danh sách này chỉ ra cho
Router biết loại dữ liệu nào được cho phép (allow) và loại dữ liệu nào bị hủy bỏ (deny). Sự cho phép và hủy bỏ này có thể được
kiểm tra dựa vào địa chỉ nguồn, địa chỉ đích, giao thức hoặc chỉ số cổng.Sử dụng ACL để quản lý các lưu lượng mạng, hỗ trợ ở
mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các gói tin qua Router.
2. Phân loại ACL
- ACL được chia thành 2 loại:
*Standard ACL: Được sử dụng khi ta muốn cấm hay cho phép tất cả các luồng dữ liệu từ một thiết bị hay một mạng xác định
trên toàn bộ giao thức. Standard ACL kiểm tra điều kiện dựa vào địa chỉ nguồn trong các gói tin.
*Extended ACL: Linh hoạt hơn Standard ACL. Nó kiểm tra cả địa chỉ nguồn, địa chỉ đích, giao thức, chỉ số cổng ứng dụng.
3. Cách cấu hình và hoạt động của ACL
- Hoạt động của ACL:
*Tạo ACL: Xác định loại ACL dựa vào ACl-number -> Lựa chọn hành động "permit" hay "deny" theo yêu cầu cụ thể.
*Gán ACL vào cổng của Router: Có thể gán vào một hoặc nhiều cổng và có thể được lọc theo chiều các gói tin đi vào hay đi ra.
- Cấu hình Standard ACL:
Router(config)# access-list <ACL-number> <permit | deny> source <wildcast-mask>
ACL-number: có giá trị từ 1 đến 99, hoặc 1300-1999
- Cấu hình Extended ACL:
Router(config)# access-list <ACL-number> <permit | deny> < protocol> <source-address> <source-wildcard> <destination-address> <destination-wildcard> <operation> <operand>
operation: thường dùng là eq
oprand: là chỉ số port của dịch vụ. Ví dụ 23 của dịch vụ telnet
ACL-number: có giá trị từ 100 đến 199
- Cấu hình gán ACL lên cổng Router:
Đối với cổng giao tiếp vật lý hoặc ảo như ( FastEthernet, GigabitEthernet, Serial, VLAN,...) ta dùng câu lệnh:
Router(config-if)# ip access-group <ACL-number> <in | out>
Đối với cổng virtual terminal port như VTY ta dùng câu lệnh:
Router(config-if)# access-class <ACL-number> <in | out>
4. Tạo ACL bằng tên
Ta cũng có thể cho phép Standard ACL và Extended ACL được định danh bởi một tên thay vì đại diện bởi một con số (ACL-number):
Router(config)# ip access-list <standard | extended> name
Router(config-std-nacl)# permit<ip address>
Router(config-std-nacl)# deny<ip address>
5. Câu lệnh kiểm tra cấu hình ACL
Router(config)# show access-list