ACLs (Access control lists) hay còn gọi là access lists, là một danh sách tuần tự

các câu lệnh hay còn gọi là ACEs (Access control entries), được áp dụng trên
một Interface nào đó, và trên bộ đệm vào hoặc ra, điều khiểu Router từ chối
hoặc chuyển tiếp các gói tin dựa vào thông tin trong IP header hoặc TCP/UDP
header.

IV) Các loại Access List (ACLs) và cấu hình

IOS Cisco cung cấp hai loại ACLs chính đó là : ACLs Chuẩn( Standard ACLs)
và ACLs mở rộng( Extended ACLs) , ngoài ra còn nhiều loại ACL khác có thể
được sử dụng trong nhiều tình huống khác nhau như Reflexive ACL, Dynamic
ACL, Timed based ACL,…

1. ACLs Chuẩn (Standard ACLs)

+) Đinh nghĩa
Đây là loại ACLs đơn giản nhất chỉ lọc các gói tin dựa vào địa chỉ Ip
nguồn ( Range của loại này từ 1 đến 99 hoặc 1300 đến 1999). Do đó, nó
chỉ được sử dngj để cho phép hoặc từ chối luồng truyền thông từ một host
hoặc một mạng củ thể nào đó. Khuyến nghị nên được áp dngj với cổng
gần đích nhất ( đặt gần đích của traffic) – Destination
 +) Cách cấu hình : gồm 2 bước
Bước 1: Định nghĩa danh sách ACLs để đặt vào interface
(config)#access-list [#number] [permit | deny] [wildcard mask] [log]
hoặc là
(config)#access-list [#number] [permit | deny] [host | any]

Bước 2: Đặt danh sách(ACLs) vào interface trên router(switch) mà ta

muốn chặn gói tin ngay tại đó

(config)#interface [interface-number]
(config-if)#ip access-group [#number] [in | out]

Ví dụ:
(config)#access-list 1 deny 172.16.0.0 0.0.255.255
(config)#access-list 1 permit any
(config)#interface fastethernet 0/0
(config-if)#ip access-group 1 in
2. ACLs mở rộng( Extend ACLs)

+) Đây là ACLs phức tạp hơn ACLs chuẩn và có nhiều điều kiện lọc hơn
ACLs chuẩn, các điều kiện lọc gồm:
Địa chỉ IP nguồn, địa chỉ IP đích, giao thức ( TCP, UDP), số cổng ứng dụng
( HTTP, Telnet,… ), và các thông số khác như Windcard mask( Range của
 loại này là từ 100 đến 199 hoặc 2000 đến 2699). Khuyến nghị nên được áp
dụng với cổng nguồn gần nhất

+) Cách cấu hình: có 2 bước để cấu hình Extended IP Access-list:

B1: Tạo access-list trong chế độ cấu hình config.

router(config)#access-list [#number] [permit | deny] [protocol] [wildcard
mask] [source port] [destination address] [wildcard mask] [destination port]
[log]

B2: Áp dụng access-list cho từng cổng tuỳ theo yêu cầu ở chế độ cấu hình
(config-if)
(config)#interface [interface-number]
(config-if)#ip access-group [#number] [in | out]

[ Lưu ý:
- Mặc định của tất cả Access-list là deny all, vì vậy trong tất cả các access-list
tối thiểu phải có 1 lệnh permit. Nếu trong access-list có cả permit và deny thì
nên để các dòng lệnh permit bên trên.
- Về hướng của access-list (In/Out) khi áp dụng vào cổng có thể hiểu đơn giản
là: In là từ host, Out là tới host hay In vào trong Router, còn Out là ra khỏi
Router.
- Đối với IN router kiểm tra gói tin trước khi nó được đưa tới bảng xử lý. Đối
vơi OUT, router kiểm tra gói tin sau khi nó vào bảng xử lý.
- Wildcard mask được tính bằng công thức:
Wildcard Mask = 255.255.255.255 – Subnet mask (Áp dụng cho cả Classful và
Classless addreess)
- Địa chỉ 0.0.0.0 255.255.255.255 = any.
- Ip_address 0.0.0.0 = host ip_address (chỉ định từng host một ) ]

Ví dụ:
(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq
telnet
(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
(config)#access-list 101 permit any any
(config)#interface fastethernet 0/0
(config-if)#ip access-group 101 out
V) Nên đặt Access List ( ACLs) ở đâu
+) Đặt ACLs đúng chổ là vô cùng quan trọng, có thể làm mạng hoạt động
hiệu quả, giảm lượng truyền thông không cần thiết. ACLs nêu đặt nơi mà
nó đạt được hiệu quả tốt nhất. Chú ý sau giúp xác định đúng vị trí đặt
ACLs:
- ACLs mở rộng: đặt gần nguồn truyền thông được lọc nhất có thể. Theo
cách này, các luông truyền thông không mong muốn bị từ chối trước khi
đi vào hạ tầng mạng, giảm lưu lượng mạng, tăng hiệu năng mạng.
- ACLs chuẩn: Vì ACLs chuẩn không chỉ định địa chỉ đích nên nó được
đặt gần mạng đích nhất có thể. Đặt ACLs chuẩn gần nguồn có thể ngăn
chặn luồng truyền thông đến đến các mạng khác qua Interface áp dụng
ACLs.
+) Vị trí đặt ACLs và loại ACLs phụ thuộc vào:
- Mức độ kiểm sát mạng của người quản trị: vị trí đặt ACLs phụ thuộc
vào khả năng điều khiển mạng nguồn, hoặc mạng đích, hoặc cả hai.
- Băng thông mạng: lọc lưu lượng mạng không mong muốn ở nguồn ngăn
chặn tiêu tốn băng thông truyền tải nó đến đích. Điều này là quan trong
đối với mạng băng thông thấp.
- Dễ dàng cấu hình: nếu người quản trị mạng muối từ chối lưu lượng
mạng đến từ một vài mạng, ý tưởng là có thể sử dụng ACLs chuẩn áp
dụng trên Router gần đích nhất có thể. Bất lợi của trường hợp này là
mạng tiêu tốn nhiều băng thông không cần thiết. Nếu sử dụng ACLs mở
rộng, có thể áp dụng ACLs trên mỗi Router nơi luồng truyền thông xuất
phát. Điều này tiết kiệm băng thông mạng nhưng yêu cầu tạo và áp dụng
ACLs trên nhiều Router.