Tweet
[ccnp sdwan] ôn tập ACL mở rộng.
ACL mở rộng không chỉ dùng để chặn hoặc cho phép gói tin – nó còn được dùng để chọn chính xác mạng nào sẽ được học hoặc quảng bá! (cách dùng khác là ip prefix thì dễ hơn, nhưng chúng ta cần biết cả hai cách)
ACL MỞ RỘNG – Không chỉ là "permit" hay "deny"
ACL mở rộng là một công cụ đầy quyền năng khi bạn muốn xác định lưu lượng dựa trên nhiều tiêu chí: giao thức, IP nguồn, IP đích, wildcard mask – và đây chính là điều khiến nó đặc biệt hữu ích trong chọn lọc tuyến trong các giao thức định tuyến như IGP (EIGRP, OSPF) và BGP.
ACL trong chọn lọc mạng IGP – "Nguồn là mạng, đích là mặt nạ"
Trong ngữ cảnh IGP, như OSPF hoặc EIGRP, ta sử dụng ACL để áp dụng các lọc (route-map hoặc distribute-list) nhằm chỉ định những mạng nào được chấp nhận hoặc quảng bá.
ip access-list extended IGP-FILTER permit ip host 172.16.0.0 host 255.240.0.0
Câu lệnh này sẽ cho phép toàn bộ mạng thuộc dải 172.16.0.0/12, như 172.16.0.0/16, 172.31.255.0/24, v.v.
Ngược lại:
permit ip host 172.16.0.0 host 255.255.0.0
Chỉ cho phép chính xác các mạng thuộc phạm vi 172.16.0.0/16, các subnet nhỏ hơn (/24, /25...) sẽ không khớp!
Muốn lọc toàn bộ tuyến 192.168.1.1/32? Chỉ cần:
permit ip host 192.168.1.1 any
ACL mở rộng trong BGP – "Nguồn là địa chỉ mạng, đích là mặt nạ mạng"
ACL mở rộng từng là công cụ chủ lực để lọc tuyến trong BGP trước khi prefix-list ra đời. Tuy nhiên đến nay, nó vẫn được dùng trong nhiều môi trường cần backward compatibility hoặc thiết bị không hỗ trợ prefix-list.
Khác với IGP, trong BGP:
permit ip 10.0.0.0 0.0.0.0 255.255.0.0 0.0.0.0
Khớp chính xác mạng 10.0.0.0/16.
permit ip 10.0.0.0 0.0.255.0 255.255.255.0 0.0.0.0
Cho phép mọi tuyến từ 10.0.x.0/24, tức là 10.0.1.0/24, 10.0.255.0/24,…
Muốn khớp toàn bộ các subnet từ /25 đến /32 trong dải 172.16.0.0/16?
permit ip 172.16.0.0 0.0.255.255 255.255.255.128 0.0.0.127
Thực chiến: Khi nào dùng ACL mở rộng trong định tuyến?
Kết luận
ACL mở rộng không còn là công cụ "chỉ để firewall". Trong tay người kỹ sư mạng, nó là thanh kiếm sắc bén giúp bạn kiểm soát chính xác những gì mạng của mình học, quảng bá, hoặc bỏ qua. Dù ngày nay nhiều người ưu tiên prefix-list cho BGP, ACL mở rộng vẫn là nền tảng đáng tin cậy trong các môi trường yêu cầu chặt chẽ và linh hoạt.
Các bạn đã từng dùng ACL để lọc tuyến định tuyến chưa? Bạn dùng ACL hay prefix-list cho BGP? cho OMP?
ACL mở rộng không chỉ dùng để chặn hoặc cho phép gói tin – nó còn được dùng để chọn chính xác mạng nào sẽ được học hoặc quảng bá! (cách dùng khác là ip prefix thì dễ hơn, nhưng chúng ta cần biết cả hai cách)
ACL MỞ RỘNG – Không chỉ là "permit" hay "deny"ACL mở rộng là một công cụ đầy quyền năng khi bạn muốn xác định lưu lượng dựa trên nhiều tiêu chí: giao thức, IP nguồn, IP đích, wildcard mask – và đây chính là điều khiến nó đặc biệt hữu ích trong chọn lọc tuyến trong các giao thức định tuyến như IGP (EIGRP, OSPF) và BGP.
ACL trong chọn lọc mạng IGP – "Nguồn là mạng, đích là mặt nạ"Trong ngữ cảnh IGP, như OSPF hoặc EIGRP, ta sử dụng ACL để áp dụng các lọc (route-map hoặc distribute-list) nhằm chỉ định những mạng nào được chấp nhận hoặc quảng bá.
- Trường nguồn đại diện cho mạng.
- Trường đích đại diện cho độ dài tiền tố nhỏ nhất được cho phép.
ip access-list extended IGP-FILTER permit ip host 172.16.0.0 host 255.240.0.0
Câu lệnh này sẽ cho phép toàn bộ mạng thuộc dải 172.16.0.0/12, như 172.16.0.0/16, 172.31.255.0/24, v.v.Ngược lại:
permit ip host 172.16.0.0 host 255.255.0.0
Chỉ cho phép chính xác các mạng thuộc phạm vi 172.16.0.0/16, các subnet nhỏ hơn (/24, /25...) sẽ không khớp!Muốn lọc toàn bộ tuyến 192.168.1.1/32? Chỉ cần:permit ip host 192.168.1.1 any
ACL mở rộng trong BGP – "Nguồn là địa chỉ mạng, đích là mặt nạ mạng"ACL mở rộng từng là công cụ chủ lực để lọc tuyến trong BGP trước khi prefix-list ra đời. Tuy nhiên đến nay, nó vẫn được dùng trong nhiều môi trường cần backward compatibility hoặc thiết bị không hỗ trợ prefix-list.
Khác với IGP, trong BGP:
- Trường nguồn là địa chỉ mạng muốn khớp.
- Trường đích là mask của tuyến (ví dụ: 255.255.255.0 cho /24).
permit ip 10.0.0.0 0.0.0.0 255.255.0.0 0.0.0.0
Khớp chính xác mạng 10.0.0.0/16.permit ip 10.0.0.0 0.0.255.0 255.255.255.0 0.0.0.0
Cho phép mọi tuyến từ 10.0.x.0/24, tức là 10.0.1.0/24, 10.0.255.0/24,… Muốn khớp toàn bộ các subnet từ /25 đến /32 trong dải 172.16.0.0/16?permit ip 172.16.0.0 0.0.255.255 255.255.255.128 0.0.0.127
Thực chiến: Khi nào dùng ACL mở rộng trong định tuyến?
Trong distribute-list dưới dạng access-list: hạn chế mạng nhận từ BGP/IGP.
- Trong route-map match ip address: kết hợp với set để thao tác như gán tag, local-preference...
- Trong chính sách lọc redistribute: quyết định mạng nào được redistrib vào BGP hoặc OSPF.
Kết luậnACL mở rộng không còn là công cụ "chỉ để firewall". Trong tay người kỹ sư mạng, nó là thanh kiếm sắc bén giúp bạn kiểm soát chính xác những gì mạng của mình học, quảng bá, hoặc bỏ qua. Dù ngày nay nhiều người ưu tiên prefix-list cho BGP, ACL mở rộng vẫn là nền tảng đáng tin cậy trong các môi trường yêu cầu chặt chẽ và linh hoạt.
Các bạn đã từng dùng ACL để lọc tuyến định tuyến chưa? Bạn dùng ACL hay prefix-list cho BGP? cho OMP?