CCNA [Bài 20] Hướng dẫn cấu hình ACL Router Cisco

Discussion in 'Lý thuyết' started by root, Feb 25, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,133
    Likes Received:
    59
    Trophy Points:
    48

    Hướng dẫn cấu hình ACL trên Cisco


    Access control List là gì ? Hướng dẫn cấu hình Access list trên Cisco Router, cấu hình Standar access list, cấu hình Extend access-list, cấu hình name access-list
    Phần này chúng ta sẽ tìm hiểu về Access control list và cách cấu hình access control list trên các thiết bị cisco

    - Các viết lý thuyết tiếp theo trong chương trình CCNA

    1. [Bài 21] Tìm hiểu về Network Address Translation
    2. [Bài 22] Tìm hiểu giao thức HSRP
    3. [Bài 23] Hướng dẫn cấu hình EtherChannel
    - Các bài lab về Access Control List
    1. [Lab 11] Cấu hình Access Control List
    2. [Lab 11.1] Cấu hình Access List cho Router
    Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.

    1. Access Control List

    - Access control list là gì ?
    • Chứa các IP, Network
    • Chỉ có tác dụng khi áp dụng trên interface của router.
    • Khi đưa ACL vào Router thi lúc này Router sẽ trở thành Firewall => mặc định của firewall sẽ là deny
    • Trong 1 chiều của 1 interface ta chỉ viết được 1 ACL
    • Trong ACL có thể thay thế khi là 1 địa chỉ IP cụ thể thay vì 192.168.1.1 0.0.0.255 thì có thể thay bằng host 192.168.1.1
    • Luôn quản lý tập trung nghĩa là nên viết 1 Acl nhưng có thể có nhiều dòng còn hơn nhiều ACL vì như thế hiệu năng Router xử lý tốt hơn
    • Nên viết ACL ra notepad rồi mới copy lên route vì khi xóa 1 dòng ACL thì ACL sẽ mất hết đối với dạng Standard và Extended

    2. Standar access list

    - Chỉ quan tâm đến source IP
    - Cú pháp:

    Router(config)#access-list n {permit | deny} source.IP wildcard-mask​
    • n: nằm trong 1 -> 99
    - Cho phép thay thế cụm "source IP wildcard-mask" bằng "any" khi không xác định được nguồn
    Code:
    Router(config)#access-list 1 permit any
    Router(config-if)#ip access-group n {in | out}
    - Lưu ý:
    • Nên áp ACL trên cổng gần đích đến nhất
    • Phải đưa ACL vào interface đúng chiều thì mới có tác dụng

    3. Extend access list

    - Hướng dẫn cấu hình extend access list
    - Cú pháp:

    Router(config)#access-list n {permit | deny} protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port​
    • n : > 99
    - source.port, des.port phải khai báo dạng
    • eq port: vd: =80
    • lt port: vd: < 80
    • gt port: cd: >80
    - Áp vào interface

    Router(config-if)#ip access-group n {in | out}
    - Ở client nó mở port ngẫu nhiên để kết nối nên ta không cần viết source port ở đây.
    => ở đây ta có thể bõ trống
    - ví dụ:

    R3(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 192.168.20.2 0.0.0.255 eq 80
    R3(config)#access-list 100 permit ip any any
    R3(config)#interface f0/1
    R3(config-if)#ip access-group 100 out

    3. Name Access list control

    - Chỉ có ở CISCO version 12.1 trở về sau
    - Cho phép xóa 1 dòng mà không bị mất hết
    - Có thể chèn 1 dòng vào 1 vị trí bất kì
    - Cú pháp
    Code:
    R(config)#ip access-list {standard | extended} Đặt tên
    - Lúc này nó chuyển và mode standard or extended
    Code:
    R(config-{std | ext} -nacl}
    - Chèn theo dòng (sequence number)
    Code:
    R(config-{std | ext} -nacl}#{sequence number} {permit | deny} …
    • sequence number: chính là vị trí, thứ tự của dòng trong
    • Trong name ACL thì khi ta gõ vào 1 dòng thì số thứ tự của nó tăng lên 10 để ta có thể chèn vào giữa nếu cần thêm lệnh ACL
    • phần còn lại tùy vào mode nếu mode standard thì gõ theo kiểu standar
    • nêu mode ext thì gõ theo cú pháp còn lại của extended
     
    Last edited: Jul 25, 2016

Share This Page