ACL Là Gì ? - Standard Access List - Extended Access List

Có thể bạn quan tâm

HẠ TẦNG MẠNG
THỦ THUẬT MẠNG
LAB TỔNG HỢP

Mới

recent . Home ACL Hạ Tầng Mạng ACL là gì ? - Standard access list - Extended access list ACL là gì ? - Standard access list - Extended access list ACL, Hạ Tầng Mạng Access Control List (ACL) là gì? Danh sách quản lý truy cập, nhiệm vụ cơ bản là lọc gói tin. Một vài đặc điểm ACL? - Các entry trong ACL đc xử lý theo thứ tự. - Cơ chế lọc bằng cách kiểm tra các thông số trong header gói tin. - ACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụ hỗ trợ ACL. - Mỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACL. - Hỗ trợ hầu như tất cả giao thức nhưng mỗi giao thức nên có riêng một ACL. - Cuối mỗi ACL luôn có 1 explicit entry [deny all] => cần phải cẩn thận. - Không thể xóa, sửa entry trong numbered ACL. Standard ACL:Standard ACL là những bản tin ACL đơn giản nhất. Chúng được đánh số từ 1-99 nếu là number ACL (ACL được ghi tên bằng số). Standard ACL chỉ lọc địa chỉ nguồn trong header của IP packet, vì thế chúng hoạt động tại lớp 3 trong mô hình OSI hay lớp internet trong mô hình TCP/IP. Standard ACL có thể được đặt theo chiều inbound (vào) hoặc outbound (ra) trên router (ta hiểu rằng vào hay ra là chiều tương đối đối với mỗi interface), tuy nhiên bản tin Standard ACL nên được đặt càng gần destination, và thường theo chiều outbound. Vì Standard ACL chỉ kiểm tra địa chỉ IP nguồn, nên vị trí đặt cần chỉ ra chính xác chiều gói tin sẽ được cho phép qua hoặc không được cho phép qua.Extended ACL: Extended ACL là những bản tin ACL mỏ rộng, cho phép lọc đa dạng hơn so với Standard ACL nên thường được sử dụng nhiều hơn. Extended ACL được đánh số từ 100 đến 199, extended ACL cho phép port number (application), source-destination IP address , protocol và nhiều tùy chọn. Vì thế extended ACL hoạt động tại lóp 3 và lớp 4 mô hình OSI.Extended ACL cũng thể được cấu hình inbound hoặc outbound trên interface, tuy nhiên vì extended ACL lọc chính xác source/destination IP Address nên vị trí đặt cần tránh tình trạng hao tổn băng thông mạng không cần thiết khi gói tin bị discard “lang thang” trước khi bị deny. Người ta thường thực hiện điều này bằng cách đặt ACL gần source. Extended ACL được sử dụng nhiều để thiết lập các routing policy trên router. Các entry trong Extended ACL rất đa dạng, và có khả năng tùy biến cao, hỗ trợ phòng chống nhiều kiểu tấn công. Cấu hình ACL: Cấu hình ACL bao gồm 2 bước: - Định nghĩa một danh sách ACL - Gán ACL vào port Router Standard ACL: Có 2 cách cấu hình để định nghĩa ACL Ở configured mode: Cách 1: access-list [ACL number] [permit/deny] [source ip address/any/host] [wildcard mask] Cách 2: ip access-list standard [ACL number hoặc ACL name] [permit/deny] [source ip address/any/host] [wildcard mask] Gán ACL vào port, vào interface-configured mode của interface cần áp dụng ALC: ip access-group [ACL number hoặc ACL name] [in/out]Giải thích:[ACL number]: đánh số cho Standard ACL từ 1-99 (dãy mở rộng 1300-1999)[permit / deny]: cho phép hoặc không cho phép gói tin qua router[source IP add]: địa chỉ IP nguồn của gói tin[any]: tất cả các source IP[host]: chỉ một host IP[wildcard mask]: wildcard mask của địa chỉ IP[in/out]: chiều đi vào hay đi ra của gói tin trên cổng router[ACL name]: thay vì ghi bằng số cho ACL ta ghi bằng tên cho tiện quản lý (VD: deny_mang172.16) Ví dụ: Cấm các IP chẳn của mạng 192.168.1.0/24 gửi đến

Học Mạng Cơ Bản - ACL là gì ? - Standard access list - Extended access list

ip access-list standard deny_ipchandeny 192.168.1.0 0.0.0.254permit anyVào interface f0/0:ip access-group deny_ipchan inLưu ý: Mạc định entry cuối của mỗi ACL là deny any nên cần phải có câu lện permit any thì các mạng lẻ mới đi được. Extended ACL: Tương tự như Standard ACL cũng có 2 cách cấu hình:Cách 1:access-list [ACL number] [permit/deny] [protocol] [source address/any/host] [destination address/any/host] [protocol qualification] [logging]Cách 2:ip access-list extended [ACL number hoặc ACL name] [permit/deny] [protocol] [source address/any/host] [destination address/any/host] [protocol qualification] [logging]Áp dụng ACL vào port tương tự như Standard ACL:ip access-group [ACL number hoặc ACL name] [in/out]Giải thích:[ACL number] đánh số cho extended ACL từ 100-199 (dãy mở rộng 2000-2699)[permit / deny]: cho phép hoặc không cho phép gói tin qua router[protocol]: Giao thức (từ lóp 3 trở lên) của gói tin (lớp 3: “ospf”, “eigrp”,.. ; lớp 4: “tcp”, “udp”; “icmp”; “ip” đại diện bất kỳ giao thức nào)[source address]: Là một chuỗi entry bao gồm [source IP address] [wildcard mask][destination specification]: Là một chuỗi entry bao gồm [destination IP address] [wildcard mask][protocol qualification]: Các tùy chọn hỗ trợ phụ thuộc vào entry [protocol], giúp tăng cườngtính năng bảo mật hoặc thực hiện những tác vụ lọc dữ liệu đặc biệtNếu [protocol] là TCP hoặc UDP thì [protocol qualification] = [optional port] [port number].Trong đó:[optional port] chỉ ra khoảng port cần được kiểm tra[port number] chỉ ra chính xác port làm mốc cho [optional port]Nếu [protocol] là ip: router sẽ match tất cả giao thức[logging]: Ghi lại thông tin về những gói tin match các entry trong ACL Ví dụ: Cấm các ip lẻ của mạng 192.168.1.0/24 truy cập WEB đến địa chỉ 196.169.1.3

ip access-list extended deny_iple_webdeny tcp 192.168.1.1 0.0.0.254 host 196.169.1.3 eq 80permit ip any anyVào interface f0/0:ip access-group deny_iple_web outTa hoàn toàn có thể đặt ACL này trên R2 với chiều in trên port của R2, nhưng đặt điểm của Extended ACL là nên đặt ở Router gần source để tránh các gói tin bị cấm đi lang thang trong mạng vô ích để rồi bị chặn, nhằm giảm trafficLưu ý:80 là port web, chúng ta có thể ghi tên giao thức thay vì ghi số port (VD:www)Một số port tương ứng với các giao thức: ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80)Lưu ý: chung cho cả Standard ACL và Extended ACL là chúng ta nên ưu tiên cấu hình deny trước, Ví dụ: cho phép truy cập web nhưng không cho sử dụng dịch vụ ftp. Nếu theo tuần tự như yêu cầu thì ta cấu hình như sau:Trường hợp 1:ip access-list extended permit_webpermit tcp xxxx xxxx eq 80permit ip any any(ACL này trở nên vô nghĩa, tạo ACL ra xong rồi cho đi hết)ip access-list extended deny_ftpdeny tcp xxxx xxxx eq 21permit ip any any=> Tạo ra 2 ACLTrường hợp 2:ip access-list extended permitweb_denyftppermit tcp xxxx xxxx eq 80deny tcp xxxx xxxx eq 21permit ip any any=> Tạo nhiều entry, vì câu lệnh "permit ip any any" trong đó bao gồm luôn "permit tcp xxxx xxxx eq 80"Nếu cấu hình như vậy sẽ làm tăng số lượng ACL và entry trong ACL làm giảm performance của Router vì ngoài thực tế Router có thể có hàng chục hàng trăm ACL. Do vậy trong ví dụ này ta chỉ cần cấu hình:ip access-list extended deny_ftpdeny tcp xxxx xxxx eq 21permit ip any anyVì vậy trước khi vào cấu hình ACL chúng ta phải nghiên cứu rõ yêu cầu để hoạch định ra ACL tối ưu nhất.LAB cụ thể:

Mô hình LAB bao gồm 3 Router các Router chạy RIPv2, kết nối với các PCs tương ứng bên dưới. Trên máy SERVER chạy dịch vụ WEB, FTP.Yêu cầu cấu hình ACL sao cho:-PC3 không nhận gói tin với IP lẻ mạng 192.168.1.0/24-PC1,2 truy cập WEB,FTP nhưng không ping được SERVER-PC3 không được sử dụng dịch vụ FTP Cấu hình:PC3 không nhận gói tin với IP lẻ mạng 192.168.1.0/24: Trên R2:ip access-list standard deny_ipledeny 192.168.1.1 0.0.0.254permit anyinterface f1/0ip access-group deny_iple out PC1,2 truy cập WEB,FTP nhưng không ping được SERVER: Trên R1: ip access-list extended deny_pingdeny icmp any host 196.169.1.3permit ip any anyinterface f0/0ip access-group deny_ping in PC3 không được sử dụng dịch vụ FTP: Trên R2:ip access-list extended deny_ftpdeny tcp 172.16.0.0 0.0.255.255 host 196.169.1.3 eq ftppermit ip any anyinterface f1/0ip access-group deny_ftp in Lưu ý: Khi cấu hình ACL cần chọn Router và Port áp dụng ACL hợp lý - Standard ACL: cấu hình ACL trên Router và port áp dụng của nó gần destination nhất. - Extended ACL: cấu hình ACL trên Router và port áp dụng của nó gần source nhất. Mời các bạn xem video hướng dẫn:

https://www.youtube.com/watch?v=FRYlAQyLXPk

ACL là gì ? - Standard access list - Extended access list

Reviewed by Huy on 7:38 PM Rating: 5

Tags :

ACL Hạ Tầng Mạng

Bình Luận: Hạ Tầng Mạng

1 comment:

Trần Hồ TiếnJune 24, 2016 at 4:39 PM
BÀI LAB HAY QUÁ
ReplyDeleteReplies

HUY VNPT

Blog được viết từ thời sinh viên, bỏ phế cả chục năm, hiện đang leo cột lắp wifi VNPT Huyện Gò Công Tây, Tỉnh Tiền Giang. Ước mơ tan vỡ, tài năng bỏ phế !

Blog Archive

► 2015 (5)
- ► March (3)
- ► January (2)

▼ 2014 (31)
- ► June (2)
- ▼ May (4)
  - NAT là gì ? Static NAT, Dynamic NAT, NAT Overload ...
  - ACL là gì ? - Standard access list - Extended acce...
  - Wildcard Mask
  - VTP (Vlan Trunking Protocol)
- ► April (19)
- ► March (6)

Contact Form

Name Email * Message * Powered by Blogger.

Từ khóa » Câu Lệnh Access List

ACL Là Gì ? - Standard Access List - Extended Access List

Mới

1 comment:

HUY VNPT

Blog được viết từ thời sinh viên, bỏ phế cả chục năm, hiện đang leo cột lắp wifi VNPT Huyện Gò Công Tây, Tỉnh Tiền Giang. Ước mơ tan vỡ, tài năng bỏ phế !

Popular Posts

TAGS

Blog Archive

Contact Form

Hướng Dẫn Cấu Hình Access-list (ACLs) Trên Thiết Bị Cisco

Access Control List - Đại Học Không Giấy

Cấu Hình Access-list (ACLs) Trên Thiết Bị Cisco.

CCNA - [Lab 11.1] Cấu Hình Access List Cho Router

TỔNG QUAN VỀ ACCESS-LIST - Forum DTU

Tìm Hiểu Về ACL (Access Control List) (Series Tự Học CCNA [A-Z]

Access Control List Là Gì? Tại Sao ACL Có Vai Trò Quan Trọng Trong ...

TẤT CẢ CÁC LỆNH CẤU HÌNH CCNA THEO CHUYÊN MỤC - P3

Acl Là Gì, Access Control List Là Gì, Phân Loại, Acl ... - Chickgolden

Cơ Bản Về Access Control Lists ( Acls Là Gì ? Hướng Dẫn Cấu Hình ...

Tài Liệu Tổng Quan Về Access List - Xemtailieu

[FIREWALL ASA] – Bài 2: Access-Control List (ACL)

Extended Access List - Trung Tâm WAREN

Liên Hệ