Hướng dẫn cấu hình ACL trên Cisco
Access control List là gì ? Hướng dẫn cấu hình Access list trên Cisco Router, cấu hình Standar access list, cấu hình Extend access-list, cấu hình name access-list
Phần này chúng ta sẽ tìm hiểu về Access control list và cách cấu hình access control list trên các thiết bị cisco
- Các viết lý thuyết tiếp theo trong chương trình CCNA
- [Bài 21] Tìm hiểu về Network Address Translation
- [Bài 22] Tìm hiểu giao thức HSRP
- [Bài 23] Hướng dẫn cấu hình EtherChannel
Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
1. Access Control List
- Access control list là gì ?- Chứa các IP, Network
- Chỉ có tác dụng khi áp dụng trên interface của router.
- Khi đưa ACL vào Router thi lúc này Router sẽ trở thành Firewall => mặc định của firewall sẽ là deny
- Trong 1 chiều của 1 interface ta chỉ viết được 1 ACL
- Trong ACL có thể thay thế khi là 1 địa chỉ IP cụ thể thay vì 192.168.1.1 0.0.0.255 thì có thể thay bằng host 192.168.1.1
- Luôn quản lý tập trung nghĩa là nên viết 1 Acl nhưng có thể có nhiều dòng còn hơn nhiều ACL vì như thế hiệu năng Router xử lý tốt hơn
- Nên viết ACL ra notepad rồi mới copy lên route vì khi xóa 1 dòng ACL thì ACL sẽ mất hết đối với dạng Standard và Extended
2. Standar access list
- Chỉ quan tâm đến source IP- Cú pháp:
Router(config)#access-list n {permit | deny} source.IP wildcard-mask
- n: nằm trong 1 -> 99
Code:
Router(config)#access-list 1 permit any
Router(config-if)#ip access-group n {in | out}- Nên áp ACL trên cổng gần đích đến nhất
- Phải đưa ACL vào interface đúng chiều thì mới có tác dụng
3. Extend access list
- Hướng dẫn cấu hình extend access list- Cú pháp:
Router(config)#access-list n {permit | deny} protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port
- n : > 99
- eq port: vd: =80
- lt port: vd: < 80
- gt port: cd: >80
Router(config-if)#ip access-group n {in | out}
=> ở đây ta có thể bõ trống
- ví dụ:
R3(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 192.168.20.2 0.0.0.255 eq 80
R3(config)#access-list 100 permit ip any any
R3(config)#interface f0/1
R3(config-if)#ip access-group 100 out
R3(config)#access-list 100 permit ip any any
R3(config)#interface f0/1
R3(config-if)#ip access-group 100 out
3. Name Access list control
- Chỉ có ở CISCO version 12.1 trở về sau- Cho phép xóa 1 dòng mà không bị mất hết
- Có thể chèn 1 dòng vào 1 vị trí bất kì
- Cú pháp
Code:
R(config)#ip access-list {standard | extended} Đặt tên
Code:
R(config-{std | ext} -nacl}
Code:
R(config-{std | ext} -nacl}#{sequence number} {permit | deny} …- sequence number: chính là vị trí, thứ tự của dòng trong
- Trong name ACL thì khi ta gõ vào 1 dòng thì số thứ tự của nó tăng lên 10 để ta có thể chèn vào giữa nếu cần thêm lệnh ACL
- phần còn lại tùy vào mode nếu mode standard thì gõ theo kiểu standar
- nêu mode ext thì gõ theo cú pháp còn lại của extended
Last edited:
