Hướng dẫn cấu hình ACL trên Cisco Access control List là gì ? Hướng dẫn cấu hình Access list trên Cisco Router, cấu hình Standar access list, cấu hình Extend access-list, cấu hình name access-list Phần này chúng ta sẽ tìm hiểu về Access control list và cách cấu hình access control list trên các thiết bị cisco - Các viết lý thuyết tiếp theo trong chương trình CCNA [Bài 21] Tìm hiểu về Network Address Translation [Bài 22] Tìm hiểu giao thức HSRP [Bài 23] Hướng dẫn cấu hình EtherChannel - Các bài lab về Access Control List [Lab 11] Cấu hình Access Control List [Lab 11.1] Cấu hình Access List cho Router Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO. Tổng hợp những bài viết lý thuyết CCNA Tổng hợp những bài Lab CCNA 1. Access Control List- Access control list là gì ? Chứa các IP, Network Chỉ có tác dụng khi áp dụng trên interface của router. Khi đưa ACL vào Router thi lúc này Router sẽ trở thành Firewall => mặc định của firewall sẽ là deny Trong 1 chiều của 1 interface ta chỉ viết được 1 ACL Trong ACL có thể thay thế khi là 1 địa chỉ IP cụ thể thay vì 192.168.1.1 0.0.0.255 thì có thể thay bằng host 192.168.1.1 Luôn quản lý tập trung nghĩa là nên viết 1 Acl nhưng có thể có nhiều dòng còn hơn nhiều ACL vì như thế hiệu năng Router xử lý tốt hơn Nên viết ACL ra notepad rồi mới copy lên route vì khi xóa 1 dòng ACL thì ACL sẽ mất hết đối với dạng Standard và Extended 2. Standar access list- Chỉ quan tâm đến source IP - Cú pháp: Router(config)#access-list n {permit | deny} source.IP wildcard-mask n: nằm trong 1 -> 99 - Cho phép thay thế cụm "source IP wildcard-mask" bằng "any" khi không xác định được nguồn Code: Router(config)#access-list 1 permit any Router(config-if)#ip access-group n {in | out} - Lưu ý: Nên áp ACL trên cổng gần đích đến nhất Phải đưa ACL vào interface đúng chiều thì mới có tác dụng 3. Extend access list- Hướng dẫn cấu hình extend access list - Cú pháp: Router(config)#access-list n {permit | deny} protocol(IP,TCP,UDP,…) source.IP wildcard-mask source.port desport des.IP wildcard-mask source.port des.port n : > 99 - source.port, des.port phải khai báo dạng eq port: vd: =80 lt port: vd: < 80 gt port: cd: >80 - Áp vào interface Router(config-if)#ip access-group n {in | out} - Ở client nó mở port ngẫu nhiên để kết nối nên ta không cần viết source port ở đây. => ở đây ta có thể bõ trống - ví dụ: R3(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 192.168.20.2 0.0.0.255 eq 80 R3(config)#access-list 100 permit ip any any R3(config)#interface f0/1 R3(config-if)#ip access-group 100 out 3. Name Access list control- Chỉ có ở CISCO version 12.1 trở về sau - Cho phép xóa 1 dòng mà không bị mất hết - Có thể chèn 1 dòng vào 1 vị trí bất kì - Cú pháp Code: R(config)#ip access-list {standard | extended} Đặt tên - Lúc này nó chuyển và mode standard or extended Code: R(config-{std | ext} -nacl} - Chèn theo dòng (sequence number) Code: R(config-{std | ext} -nacl}#{sequence number} {permit | deny} … sequence number: chính là vị trí, thứ tự của dòng trong Trong name ACL thì khi ta gõ vào 1 dòng thì số thứ tự của nó tăng lên 10 để ta có thể chèn vào giữa nếu cần thêm lệnh ACL phần còn lại tùy vào mode nếu mode standard thì gõ theo kiểu standar nêu mode ext thì gõ theo cú pháp còn lại của extended