Đầu tiên, có thể hiểu Access-list là một danh sách các câu lệnh được áp dụng vào các cổng interface của router hay switch cisco. Danh sách này giúp chỉ cho chúng ta thấy router hay switch sẽ biết được loại packet nào được chấp nhận hay loại bỏ. Việc chấp nhân hay loại bỏ có thể dựa vào các yếu tố như: địa chỉ nguồn, địa chỉ đích hoặc chỉ số cổng (port).
Phân loại Access-list và cách cấu hình chúng
1. Standard IP Access-list (Standard ACLs)
Đây là dòng access list chỉ lọc dữ liệu dựa vào địa chỉ IP nguồn, giá trị range của dòng này từ 1-99. Nên được áp dụng với cổng đích gần nhất, có 2 bước để cấu hình và tạo ACLs Standard:
Bước 1: Đầu tiên cần phải định nghĩa lại danh sách các ACLs để tiền hành đặt vào interface
(config)#access-list [#number] [permit | deny] [wildcard mask] [log]
Hoặc là :
(config)#access-list [#number] [permit | deny] [host | any]
Bước 2: Tiến hành đặt danh sách ACLs vào interface trên Router-Switch mà mục đích ta muốn chặn gói tin ngay tại điểm đó
(config)#interface [interface-number]
(config-if)#ip access-group [#number] [in | out]
Ví dụ demo:
(config)#access-list 1 deny 172.16.0.0 0.0.255.255
(config)#access-list 1 permit any
(config)#interface fastethernet 0/0
(config-if)#ip access-group 1 in
2. Extended IP Access - List
Đây là loại ACLs lọc dữ liệu dựa vào địa chỉ IP nguồn, đích, giao thức TCP số cổng HTTP....và các thông số windcard mask. Chỉ số range của loại ACLS nào từ khoảng 100-199, nên áp dụng cài đặt với cổng gần nguồn nhất.
Chúng ta sẽ có 2 bước để cấu hình Extended IP ACLs
Bước 1: Tạo ACLs trong chế độ cấu hình config
router(config)#access-list [#number] [permit | deny] [protocol] [wildcard mask] [source port] [destination address] [wildcard mask] [destination port] [log]
Bước 2: Áp dụng ALCs cho từng cổng theo yêu cầu ở chế độ cấu hình config-if
(config)#interface [interface-number]
(config-if)#ip access-group [#number] [in | out]
Một số chú ý trong quá trình này:
- Chế độ mặc định của tất cả các ACLs là Deny All, vậy nn trong tất cả các ACLs chúng ta tối thiểu phải có 1 lệnh permit. Và nếu trong ACLs cso cả lệnh permit và deny thì nên ưu tiên các dòng lệnh permit bên trên.
- Về hướng của ACLS khi được áp dụng vào cổng thì có thể nhớ một cách đơn giản là: In là từ host còn Out là tới host hoặc In là vào trong Router còn Out và đi khỏi Router.
- Với trường hợp xuất hiện In router thì nên kiểm tra kỹ goi tin trước khi đưa nó tới bảng xử lý, đối với Out router thì kiểm tra nó sau khi vào bảng xử lý
- Thông tin wildcard mask sẽ được tính bằng công thức
wildcark mask=255.255.255.255-subnet mask
- Địa chỉ 0.0.0.0 255.255.255.255=any
- Địa chỉ IP 0.0.0.0 = host ip_address (chỉ định cho từng host 1)
Ví dụ demo:
(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
(config)#access-list 101 permit any any
(config)#interface fastethernet 0/0
(config-if)#ip access-group 101 out
3. Cấu hình tên access-list (named ACLs) thay cho các số hiệu
(config)#ip access-list extended tgm-access (tên của access-list)
(config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet
(config)#interface fastethernet 0/0
(config-if)#ip access-group tgm-access out
4. Permit hoặc Deny Telnet sử dụng Standard Acl
(config)#access-list 2 permit 172.16.0.0 0.0.255.255
(config)#access-list 2 deny any
(config)#line vty 0 4
(config-line)#password cisco
(config-line)#login
(config-line)#ip access-class 2 in
5. Kiểm tra và xoá Access-list (ACLs)
- Hiển thị tất cả ACLs đang sử dụng
(config)#show running-config
- Xem ACLs hoạt động trên interface nào đó
(config)#show interface [#number]
- Xem việc đặt và hướng đi của ip ACLs
(config)#show ip interfaces [#number]
- Xem những câu lệnh ACLs
(config)#show access-list [#number]
- Hiển thị tất cả ip ACLs
#show ip access-list
- Hiển thị ip ACL 101
#show ip access-list 101
- Xóa bộ đếm (to clear the counters use)
(config)#show access-list [#number]
(config)#clear access-list counter [#number]
- Xóa Access list
(config)#no ip access-list [standard-extended][#number]
(config)#interface [interface-number]
(config-if)#no access-list [#number] [permit deny] [wildcard mask]
6. Một số port thông dụng
——————————————————————–
Port Number ——-TCP port names —-UDP port names
——————————————————————–
6 ———————-TCP————————————–
21———————-FTP————————————–
23 ———————TELNET——————————–
25 ———————SMTP————————————
53———————————————-DNS————-
69 ———————————————TFTP————-
80 ———————WWW———————————–
161 ——————————————–SNMP———–
520 ——————————————–RIP————
Trên đây là bài viết hướng dẫn và chia sẻ tới khách hàng 2 dạng Access list phổ biến trên Router -Switch Cisco và cách cầu hình chúng. Khách hàng cần tham khảo kỹ bài viết trước khi tiến hành cấu hình Access-lisst để đạt hiệu quả cao nhất mà không bị lỗi. Xin cám ơn!
