CCNA [Bài 20] Hướng dẫn cấu hình ACL Router Cisco

root · 25/02/2014

Hướng dẫn cấu hình ACL trên Cisco

Access control List là gì ? Hướng dẫn cấu hình Access list trên Cisco Router, cấu hình Standar access list, cấu hình Extend access-list, cấu hình name access-list
Phần này chúng ta sẽ tìm hiểu về Access control list và cách cấu hình access control list trên các thiết bị cisco

- Các viết lý thuyết tiếp theo trong chương trình CCNA

- Các bài lab về Access Control List

Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.

1. Access Control List

- Access control list là gì ?

Chứa các IP, Network
Chỉ có tác dụng khi áp dụng trên interface của router.
Khi đưa ACL vào Router thi lúc này Router sẽ trở thành Firewall => mặc định của firewall sẽ là deny
Trong 1 chiều của 1 interface ta chỉ viết được 1 ACL
Trong ACL có thể thay thế khi là 1 địa chỉ IP cụ thể thay vì 192.168.1.1 0.0.0.255 thì có thể thay bằng host 192.168.1.1
Luôn quản lý tập trung nghĩa là nên viết 1 Acl nhưng có thể có nhiều dòng còn hơn nhiều ACL vì như thế hiệu năng Router xử lý tốt hơn
Nên viết ACL ra notepad rồi mới copy lên route vì khi xóa 1 dòng ACL thì ACL sẽ mất hết đối với dạng Standard và Extended

2. Standar access list

- Chỉ quan tâm đến source IP
- Cú pháp:

Router(config)#access-list n {permit | deny} source.IP wildcard-mask

n: nằm trong 1 -> 99

- Cho phép thay thế cụm "source IP wildcard-mask" bằng "any" khi không xác định được nguồn

Mã:

Router(config)#access-list 1 permit any
Router(config-if)#ip access-group n {in | out}

- Lưu ý:

Nên áp ACL trên cổng gần đích đến nhất
Phải đưa ACL vào interface đúng chiều thì mới có tác dụng

3. Extend access list

- Hướng dẫn cấu hình extend access list
- Cú pháp:

Router(config)#access-list n {permit | deny} protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port

n : > 99

- source.port, des.port phải khai báo dạng

eq port: vd: =80
lt port: vd: < 80
gt port: cd: >80

- Áp vào interface

Router(config-if)#ip access-group n {in | out}

- Ở client nó mở port ngẫu nhiên để kết nối nên ta không cần viết source port ở đây.
=> ở đây ta có thể bõ trống
- ví dụ:

R3(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 192.168.20.2 0.0.0.255 eq 80
R3(config)#access-list 100 permit ip any any
R3(config)#interface f0/1
R3(config-if)#ip access-group 100 out

3. Name Access list control
- Chỉ có ở CISCO version 12.1 trở về sau
- Cho phép xóa 1 dòng mà không bị mất hết
- Có thể chèn 1 dòng vào 1 vị trí bất kì
- Cú pháp

Mã:

R(config)#ip access-list {standard | extended} Đặt tên

- Lúc này nó chuyển và mode standard or extended

Mã:

R(config-{std | ext} -nacl}

- Chèn theo dòng (sequence number)

Mã:

R(config-{std | ext} -nacl}#{sequence number} {permit | deny} …

sequence number: chính là vị trí, thứ tự của dòng trong
Trong name ACL thì khi ta gõ vào 1 dòng thì số thứ tự của nó tăng lên 10 để ta có thể chèn vào giữa nếu cần thêm lệnh ACL
phần còn lại tùy vào mode nếu mode standard thì gõ theo kiểu standar
nêu mode ext thì gõ theo cú pháp còn lại của extended

CCNA [Bài 20] Hướng dẫn cấu hình ACL Router Cisco

root

Specialist

Hướng dẫn cấu hình ACL trên Cisco

1. Access Control List

2. Standar access list

3. Extend access list

3. Name Access list control