ACL LÀ GÌ
Access control list (ACL) là một danh sách những câu lệnh được áp để vào những cổng (Interface) của thiết bị mạng. Danh sách này chỉ ra loại packet làm sao được chấp nhận và các loại packet nào bị bỏ bỏ. Sự chấp nhận và huỷ bỏ này hoàn toàn có thể dựa vào add nguồn, showroom đích hoặc chỉ số port.
Các nhiều loại ACL
Standard ACL: một số loại ACL này chỉ đề cập cho source IP của gói tin IP, không kể thêm bất cứ thông tin nào khác của gói tin.Extended ACL: các loại ACL này nhắc đến không chỉ source IP bên cạnh đó cả destination IP, source port, destination port, giao thức nền (TCP, UDP, ICMP…) và một số trong những thông số khác của gói tin IP.Các các loại khác: lân cận hai các loại ACL thiết yếu nói đã đến ở trên, còn nhiều một số loại ACL khác hoàn toàn có thể được sử dụng trong vô số tình huống khác biệt như: Reflexive ACL, Dynamic ACL, Timed based ACL…Nguyên tắc hoạt động vui chơi của Access list
Access – list là một trong những danh sách gồm nhiều dòng. Lúc được truy nã xuất, ACL sẽ tiến hành đọc và thi hành từng loại một từ bên trên xuống dưới, loại nào chứa tin tức khớp với thông tin của gói tin đang rất được xem xét, cái ấy sẽ được thi hành ngay lập tức và các dòng còn sót lại sẽ được bỏ qua.
Một bề ngoài nữa cần chú ý là các dòng mới được khai báo đã được auto thêm vào thời điểm cuối ACL, tuy vậy dòng sau cuối thực sự của một ACL luôn là một dòng ngầm định “deny” vớ cả, có nghĩa là nếu gói tin ko match bất cứ dòng nào vẫn khai báo của ACL, nó sẽ bị deny.
Cấu hình
Standard Access-list
Router(config)#access-list n permit source.IP wildcard-mask
Router(config-if)#ip access-group n out
Extended Access-list
Router(config)#access-list n deny protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port
Router(config-if)#ip access-group n in Router(config-if)#ip access-group n out
Thông tin thêm
n > 99eq = 80lt gt > 80Ví dụ
Standard Access-list
Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255 Router(config)#access-list 1 permit any Router(config)#interface fastethernet 0/0 Router(config-in)#ip access-group in
Extended Access-list
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp Router(config)#access-list 101 permit any any Router(config)#interface fastethernet 0/0 Router(config-int)#ip access-group out