ACL LÀ GÌ

     

Access control list (ACL) là một danh sách những câu lệnh được áp để vào những cổng (Interface) của thiết bị mạng. Danh sách này chỉ ra loại packet làm sao được chấp nhận và các loại packet nào bị bỏ bỏ. Sự chấp nhận và huỷ bỏ này hoàn toàn có thể dựa vào add nguồn, showroom đích hoặc chỉ số port.


*

Các nhiều loại ACL

Standard ACL: một số loại ACL này chỉ đề cập cho source IP của gói tin IP, không kể thêm bất cứ thông tin nào khác của gói tin.Extended ACL: các loại ACL này nhắc đến không chỉ source IP bên cạnh đó cả destination IP, source port, destination port, giao thức nền (TCP, UDP, ICMP…) và một số trong những thông số khác của gói tin IP.Các các loại khác: lân cận hai các loại ACL thiết yếu nói đã đến ở trên, còn nhiều một số loại ACL khác hoàn toàn có thể được sử dụng trong vô số tình huống khác biệt như: Reflexive ACL, Dynamic ACL, Timed based ACL…

Nguyên tắc hoạt động vui chơi của Access list

Access – list là một trong những danh sách gồm nhiều dòng. Lúc được truy nã xuất, ACL sẽ tiến hành đọc và thi hành từng loại một từ bên trên xuống dưới, loại nào chứa tin tức khớp với thông tin của gói tin đang rất được xem xét, cái ấy sẽ được thi hành ngay lập tức và các dòng còn sót lại sẽ được bỏ qua.

Một bề ngoài nữa cần chú ý là các dòng mới được khai báo đã được auto thêm vào thời điểm cuối ACL, tuy vậy dòng sau cuối thực sự của một ACL luôn là một dòng ngầm định “deny” vớ cả, có nghĩa là nếu gói tin ko match bất cứ dòng nào vẫn khai báo của ACL, nó sẽ bị deny.

Cấu hình

Standard Access-list

Router(config)#access-list n permit source.IP wildcard-mask

Router(config-if)#ip access-group n out

Extended Access-list

Router(config)#access-list n deny protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port​

Router(config-if)#ip access-group n in Router(config-if)#ip access-group n out

Thông tin thêm

n > 99eq
= 80lt gt > 80

Ví dụ

Standard Access-list

Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255 Router(config)#access-list 1 permit any Router(config)#interface fastethernet 0/0 Router(config-in)#ip access-group in

Extended Access-list

Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp Router(config)#access-list 101 permit any any Router(config)#interface fastethernet 0/0 Router(config-int)#ip access-group out