Tweet
Nếu bạn đang theo học CCNA, hay đơn giản là làm việc với thiết bị Cisco mỗi ngày, thì "Access Control List" (ACL) chính là một trong những khái niệm bạn không được phép bỏ qua. Hãy tưởng tượng nếu mạng LAN của bạn không có bất kỳ giới hạn nào: mọi loại traffic đều được phép, hacker tự do ra vào như chốn không người — mạng sẽ nhanh chóng thành… "vùng chiến sự".
ACL chính là hàng rào kiểm soát traffic – cho phép hoặc chặn gói tin dựa vào nhiều tiêu chí như địa chỉ IP nguồn, đích, port, giao thức… Chúng được áp dụng trên router, switch Layer 3, firewall để giới hạn lưu lượng không mong muốn, giảm tải và tăng bảo mật.
🎯 ACL là gì?
ACL (Access Control List) là tập hợp các luật lọc gói tin, xác định xem gói đó có được chấp nhận (permit) hay loại bỏ (deny).
Bạn có thể hình dung ACL như một danh sách kiểm soát ở cửa bảo vệ. Mỗi dòng là một tiêu chí xét duyệt:
🛑 Lưu ý cực kỳ quan trọng: Tất cả ACL mặc định kết thúc bằng "deny all", ngay cả khi bạn không viết dòng đó. Do đó, nếu bạn quên permit phần còn lại, bạn có thể vô tình chặn cả traffic hợp lệ!
📦 Các loại ACL
ACL trên thiết bị Cisco được chia làm 2 loại chính:
✅ Standard ACL (ACL Chuẩn)
access-list <số> {permit|deny} {host IP|mạng wildcard|any}
🧪 Ví dụ 1: Chỉ cho phép host 10.10.1.10
access-list 10 permit host 10.10.1.10
🧪 Ví dụ 2: Cho phép subnet 10.10.5.0/24
access-list 10 permit 10.10.5.0 0.0.0.255
🧪 Ví dụ 3: Cho phép mọi traffic còn lại
access-list 10 permit any
🔥 Extended ACL (ACL Mở Rộng)
access-list <số> {permit|deny} <protocol> <IP nguồn> <wildcard> <IP đích> <wildcard> [eq <port>]
🧪 Ví dụ:
access-list 101 permit ip 10.10.1.0 0.0.0.255 10.10.5.0 0.0.0.255
access-list 101 deny tcp 10.10.1.0 0.0.0.255 10.10.5.0 0.0.0.255 eq 80
access-list 101 permit ip any any
➡️ Dòng đầu cho phép toàn bộ IP từ 10.10.1.0/24 đến 10.10.5.0/24
➡️ Dòng hai chặn kết nối HTTP (port 80)
➡️ Dòng ba cho phép phần còn lại
🧷 Áp dụng ACL vào Interface
Việc tạo ACL chưa có tác dụng gì cả nếu bạn không gắn nó vào interface. Chỉ khi nào ACL được áp vào inbound hoặc outbound của interface, nó mới bắt đầu kiểm tra traffic đi qua.
📌 Cú pháp:
interface GigabitEthernet 0/0 ip access-group 101 in
📌 "in" nghĩa là kiểm tra traffic đi vào interface
📌 "out" nghĩa là kiểm tra traffic đi ra từ interface
💡 Gợi ý luyện tập cho dân CCNA
📍 Kết luận
ACL là một công cụ cơ bản nhưng cực kỳ mạnh mẽ mà kỹ sư mạng nào cũng phải thành thạo. Từ việc kiểm soát traffic đến tăng cường bảo mật – ACL là dòng đầu tiên phòng thủ trước rừng traffic ngày nay. Làm chủ ACL không chỉ giúp bạn đậu CCNA, mà còn là bước đệm vững chắc lên CCNP, CCIE sau này.
📌 Bài tiếp theo: Chúng ta sẽ cùng khám phá Named ACL và cách tạo ACL động (Dynamic ACL).
💬 Bạn đã từng gặp sự cố nào do ACL chưa? Chia sẻ câu chuyện thực chiến ở comment nhé!
#NetCenter vnpro acl ccna ccnp cisco #NetworkSecurity #AccessList
ACL chính là hàng rào kiểm soát traffic – cho phép hoặc chặn gói tin dựa vào nhiều tiêu chí như địa chỉ IP nguồn, đích, port, giao thức… Chúng được áp dụng trên router, switch Layer 3, firewall để giới hạn lưu lượng không mong muốn, giảm tải và tăng bảo mật.
🎯 ACL là gì?
ACL (Access Control List) là tập hợp các luật lọc gói tin, xác định xem gói đó có được chấp nhận (permit) hay loại bỏ (deny).
Bạn có thể hình dung ACL như một danh sách kiểm soát ở cửa bảo vệ. Mỗi dòng là một tiêu chí xét duyệt:
- Bạn đến từ đâu (IP nguồn)?
- Bạn định đi đâu (IP đích)?
- Đi kiểu gì (protocol)?
- Qua cửa nào (port)?
🛑 Lưu ý cực kỳ quan trọng: Tất cả ACL mặc định kết thúc bằng "deny all", ngay cả khi bạn không viết dòng đó. Do đó, nếu bạn quên permit phần còn lại, bạn có thể vô tình chặn cả traffic hợp lệ!
📦 Các loại ACL
ACL trên thiết bị Cisco được chia làm 2 loại chính:
✅ Standard ACL (ACL Chuẩn)
- Chỉ lọc theo địa chỉ IP nguồn
- Ít tùy biến, nhưng đơn giản, dễ hiểu
- Số thứ tự: 1–99 hoặc 1300–1999
- Thường đặt gần đích (gần nơi cần bảo vệ)
access-list <số> {permit|deny} {host IP|mạng wildcard|any}
🧪 Ví dụ 1: Chỉ cho phép host 10.10.1.10
access-list 10 permit host 10.10.1.10
🧪 Ví dụ 2: Cho phép subnet 10.10.5.0/24
access-list 10 permit 10.10.5.0 0.0.0.255
🧪 Ví dụ 3: Cho phép mọi traffic còn lại
access-list 10 permit any
🔥 Extended ACL (ACL Mở Rộng)
- Lọc theo IP nguồn, IP đích, port, giao thức…
- Mạnh mẽ và được dùng nhiều trong thực tế
- Số thứ tự: 100–199 hoặc 2000–2699
- Có thể đặt tên thay vì dùng số
- Thường đặt gần nguồn (gần nơi phát sinh traffic)
access-list <số> {permit|deny} <protocol> <IP nguồn> <wildcard> <IP đích> <wildcard> [eq <port>]
🧪 Ví dụ:
access-list 101 permit ip 10.10.1.0 0.0.0.255 10.10.5.0 0.0.0.255
access-list 101 deny tcp 10.10.1.0 0.0.0.255 10.10.5.0 0.0.0.255 eq 80
access-list 101 permit ip any any
➡️ Dòng đầu cho phép toàn bộ IP từ 10.10.1.0/24 đến 10.10.5.0/24
➡️ Dòng hai chặn kết nối HTTP (port 80)
➡️ Dòng ba cho phép phần còn lại
🧷 Áp dụng ACL vào Interface
Việc tạo ACL chưa có tác dụng gì cả nếu bạn không gắn nó vào interface. Chỉ khi nào ACL được áp vào inbound hoặc outbound của interface, nó mới bắt đầu kiểm tra traffic đi qua.
📌 Cú pháp:
interface GigabitEthernet 0/0 ip access-group 101 in
📌 "in" nghĩa là kiểm tra traffic đi vào interface
📌 "out" nghĩa là kiểm tra traffic đi ra từ interface
💡 Gợi ý luyện tập cho dân CCNA
- Tạo một ACL standard chỉ cho phép PC1 (IP 192.168.10.10) truy cập Internet
- Viết một ACL extended để chặn FTP từ LAN đến server DMZ
- Tự luyện tính toán wildcard mask với subnet khác nhau
- Test với GNS3 hoặc Packet Tracer để hiểu rõ hơn về chiều traffic bị ảnh hưởng
📍 Kết luận
ACL là một công cụ cơ bản nhưng cực kỳ mạnh mẽ mà kỹ sư mạng nào cũng phải thành thạo. Từ việc kiểm soát traffic đến tăng cường bảo mật – ACL là dòng đầu tiên phòng thủ trước rừng traffic ngày nay. Làm chủ ACL không chỉ giúp bạn đậu CCNA, mà còn là bước đệm vững chắc lên CCNP, CCIE sau này.
📌 Bài tiếp theo: Chúng ta sẽ cùng khám phá Named ACL và cách tạo ACL động (Dynamic ACL).
💬 Bạn đã từng gặp sự cố nào do ACL chưa? Chia sẻ câu chuyện thực chiến ở comment nhé!
#NetCenter vnpro acl ccna ccnp cisco #NetworkSecurity #AccessList