PART 1: Quản lý luồng dữ liệu bằng

Access Control List

Tại sao sử dụng ACL?

 Lọc: Quản lý luồng dữ liệu bởi cơ chế lọc gói tin đi qua Router.
 Phân loại: Xác nhận luồng dữ liệu cho những mục đích cụ thể.
Ứng dụng của ACL: Bộ lọc

 Cho phép hay từ chối gói tin đi qua Router.

 Cho phép hay từ chối liên kết tới hoặc từ cổng vty.
 Nếu không có ACL, tất cả gói tin có thể băng qua hệ thống mạng.
Ứng dụng của Acl: Phân loại

 Phân loại luồng dữ liệu dựa trên quá trình kiểm tra gói tin.
 Hoạt động của ACL chiều ra

Gói tin
Chọn cổng S0
Gói tin đi vào
Y
cổng giao diện Cổng ra
Có entry
trong
Bảng route
?
Access N
N
List
?
Y

Xô chứa
những gói
tin bị từ
chối
 Hoạt động của ACL chiều ra

Gói tin
Chọn cổng S0
Gói tin đi vào
Y Cổng ra
cổng giao diện
Kiểm tra
Có entry ACL
trong E0
Bảng route
? Gói tin
Access N
N
List Y
? Cho phép
?
Y

Xô chứa
những gói
tin bị từ
chối
 Hoạt động của ACL chiều ra
Gói tin
Chọn cổng S0
Gói tin đi vào
Y Cổng ra
cổng giao diện
Kiểm tra
Có entry ACL
trong E0
Bảng route
? Gói tin
Access N
N
List Y
? Cho phép
?
Y
N
Từ chối gói tin

Xô chứa Cảnh báo người gởi

những gói
tin bị từ
chối
 Nếu không phù hợp bất kì rule nào của ACL, gói tin bị loại bỏ tại
rule cuối cùng.
 Danh sách các bước kiểm tra: Cho phép hay
loại bỏ
Phù hợp bước
kiểm
Gói tin đến cổng theo tra đầu
chiều access-group Y tiên Y
?

Từ chối Cho phép

Điểm đến

Cổng giao diện

Xô chứa
những gói Từ chối
tin bị từ
chối
 Danh sách các bước kiểm tra: Cho phép hay
loại bỏ
Phù hợp bước
kiểm
Gói tin đến cổng theo tra đầu
chiều access-group Y tiên Y
N?

Từ chối Cho phép

Phù hợp bước
Y kiểm Y
Từ chối Cho phép
tra tiếp Điểm đến
theo
?
Cổng giao diện

Xô chứa
những gói Từ chối
tin bị từ
chối
 Danh sách các bước kiểm tra: Cho phép hay
loại bỏ

Phù hợp bước

kiểm
Gói tin đến cổng theo tra đầu
chiều access-group Y tiên Y
N?

Từ chối Cho phép

Phù hợp bước
Y kiểm Y
Từ chối Cho phép
tra tiếp Điểm đến
theo
N?
Cổng giao diện

YPhù hợp bướcY

Từ chối kiểm Cho phép
tra cuối
cùng
?
Xô chứa
những gói Từ chối
tin bị từ
chối
 Danh sách các bước kiểm tra: Cho phép hay
loại bỏ

Phù hợp bước

kiểm
Gói tin đến cổng theo tra đầu
chiều access-group Y tiên Y
N?

Từ chối Cho phép

Phù hợp bước
Y kiểm Y
Từ chối Cho phép
tra tiếp Điểm đến
theo
N?
Cổng giao diện

YPhù hợp bướcY

Từ chối kiểm Cho phép
tra cuối
cùng
N ? Ngụ ý
từ chối
Xô chứa
những gói Nếu không phù hợp
Từ chối
tin bị từ từ chối tất cả
chối
Phân loại ACL

 Standard ACL
 Kiểm tra địa chỉ nguồn
 Chỉ cho phép hoặc từ chối toàn bộ bộ giao thức
 Extended ACL
 Kiểm tra địa chỉ nguồn và đích
 Cho phép hay từ chối giao thức hay ứng dụng cụ thể.
 Hai phương pháp dùng để xác nhận standard và
extended ACLs:
 Numbered ACLs dùng một số cho việc xác nhận
 Named ACLs dùng một tên hay chuỗi số cho việc xác nhận
Cách thức để xác nhận ACL

 Numbered standard IPv4 lists (1–99) kiểm tra điều kiện cho tất cả gói tin
về địa chỉ nguồn. Dãy mở rộng (1300–1999).
 Numbered extended IPv4 lists (100–199) kiểm tra điều kiện địa chỉ
nguồn và đích, giao thức TCP/IP cụ thể, và port đích. Dãy mở rộng
(2000–2699).
 Named ACLs xác nhận IP standard and extended ACLs trong một chuỗi
(tên).  
Dãy số ACL

◦ Yêu cầu Cisco IOS Release 12.3

◦ Cho phép chỉnh sửa theo thứ tự các phác biểu của ACL dùng dãy
số.
 ACL được đưa vào router theo một thứ tự nhất định.
◦ Cho phép loại bỏ một pháp biểu ACL từ một danh sách dùng các
dãy số.
◦ Với named ACLs, trong Cisco IOS Release 12.3 phải dùng no
{deny | permit} protocol source source-wildcard destination
destination-wildcard để từ bỏ một phát biểu đơn.
 Với numbered ACLs, trong Cisco IOS Release 12.3 phải loại
bỏ toàn bộ Acl để loại bỏ một phát biểu ACL đơn.
Hướng dẫn cấu hình ACL

◦ Standard hoặc extended chỉ ra cách thức cho bộ lọc.

◦ Chỉ một ACL cho mỗi cổng, mỗi giao thức, và mỗi hướng là
được cho phép.
◦ Thứ tự các phát biểu của ACL điều khiển việc kiểm tra, do đó,
phát biểu được kiểm tra đầu tiên sẽ nằm trước tiên trong danh
sách.
◦ ACL cuối cùng luôn luôn ngụ ý từ chối tất cả, vì thế mỗi Acl cần
ít nhất một phát biểu cho phép.
◦ ACLs được áp vào cổng theo chiều đi ra hoặc đi vào.
◦ Một ACL có thể lọc luồng dữ liệu đi qua router, hoặc luồng dữ
liệu đến hay từ router, tùy thuộc vào cách nó được áp đặt.
◦ Khi triển khai ACL trong hệ thống mạng:
 Đặt extended ACLs gần với nguồn
 Đặt standard ACLs gần với đích
 Lệnh dùng cho ACL

 Step 1: Thiết lập các biến cho Acl (có thể một hay vài biến)

Router(config)#

access-list access-list-number { permit | deny } { test conditions }

 Lệnh dùng cho ACL

 Step 1: Thiết lập các biến cho Acl (có thể một hay vài biến)

Router(config)#

access-list access-list-number { permit | deny } { test conditions }

Step 2: Áp ACL trên cổng giao diện

Router(config-if)#
{ protocol } access-group access-list-number {in | out}

IP Access lists thuộc dãy số từ 1-99 hoặc 100-199

 Kiểm tra gói tin với Standard ACL

Frame
Gói tin Segment
Header
(IP header) (ví dụ, Dữ liệu
(ví dụ,
HDLC) TCP header)

Địa chỉ nguồn

Dùng
access
list statements
1-99
Từ chốn Cho phép
 Kiểm tra gói tin với Extended ACL
 Một ví dụ từ gói tinTCP/IP
Frame
Header Gói tin Segment
(IP header) (ví dụ, Dữ liệu
(ví dụ,
HDLC) TCP header)

Số Port

Giao thức
Địa chỉ nguồn Dùng
access
Địa chỉ đích list statements
1-99 hoặc 100-199
kiểm tra
Từ chối gói Cho phép
Wildcard Bits: Cách thức kiểm tra bit tương ứng

Octet bit position and

128 64 32 16 8 4 2 1 address value for bit

Examples
check all address bits
0 0 0 0 0 0 0 0 = (match all)

0 0 1 1 1 1 1 1 = ignore last 6 address bits

0 0 0 0 1 1 1 1 = ignore last 4 address bits

1 1 1 1 1 1 0 0 = check last 2 address bits

1 1 1 1 1 1 1 1 = do not check address

(ignore bits in octet)

◦ 0 nghĩa là kiểm tra bit tương ứng

◦ 1 nghĩa là từ chối giá trị bit tương ứng
 Wildcard Bits để phù hợp cho một địa chỉ
host cụ thể
Điểu kiện kiểm tra: Kiểm tra tất cả các bit (match all)
Một địa chỉ IP host, ví dụ:
172.30.16.29

Wildcard mask: 0.0.0.0

(checks all bits)

◦ Ví dụ 172.30.16.29 0.0.0.0 kiểm tra tất cả các địa chỉ bit

◦ Wildcard mask dùng địa chỉ đi trước bởi từ khóa host (host
172.30.16.29)
 Wildcard Bits để phú hợp bất kì địa chỉ

Điều kiện kiểm tra: Từ chối tất cả các bit (match any)
Any IP address
0.0.0.0

Wildcard mask: 255.255.255.255

(ignore all)

◦ Chấp nhận bất kì địa chỉ: 0.0.0.0 255.255.255.255

◦ Nhấn mạnh với từ khóa any
 Wildcard Bits để phù hợp subnet

Kiểm tra cho IP subnets 172.30.16.0/24 đến 172.30.31.0/24

Địac chỉ và wildcard mask:
172.30.16.0 0.0.15.255
Network .host
172.30.16.0
172.30.16

0 0 0 1 0 0 0 0
Wildcard mask: 0 0 0 0 1 1 1 1
|<---- match ---->|<----- don’t care ----->|
0 0 0 1 0 0 0 0 = 16
0 0 0 1 0 0 0 1 = 17
0 0 0 1 0 0 1 0 = 18
: :
0 0 0 1 1 1 1 1 = 31
Dynamic ACLs

Dynamic ACLs (lock-and-key): Users muốn đi qua router thì bị khóa

đến khi nó dùng Telnet để kết nối đến router và xác thực
Reflexive ACLs

Reflexive ACLs: được dùng để cho phép luồng dữ liệu đi ra và

giới hạn luồng đi vào trong phải là phản hồi của một session bắt
nguồn từ bên trong.
Time-Based ACLs

Time-based ACLs: Cho pép điều khiển truy nhập dựa trên thời gian
của ngày và tuần
 Standard .vs Extended ACL

Standard Extended

Lọc dựa trên nguồn. Nguồn và đích

Cho phép hay từ chối toàn bộ Một giao thức hay port cụ
bộ giao thức thể

Dãy số từ 1 đến 99 Dãy số từ 100 đến 199.

 Standard IP Access List
Ví dụ 1

Non-
172.16.3.0 172.16.0.0 172.16.4.0

S0
172.16.4.13
E0 E1

access-list 1 permit 172.16.0.0 0.0.255.255

(implicit deny all - not visible in the list)
(access-list 1 deny 0.0.0.0 255.255.255.255)

interface ethernet 0
ip access-group 1 out
interface ethernet 1
ip access-group 1 out

• Cho phép chỉ một mạng

Standard IP Access List
Ví dụ 2
Non-
172.16.3.0 172.16.0.0 172.16.4.0

S0
172.16.4.13
E0 E1

access-list 1 deny 172.16.4.13 0.0.0.0

access-list 1 permit 0.0.0.0 255.255.255.255
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)

Từ chối một host cụ thể

 Extended Access List
Ví dụ 1

Non-
172.16.3.0 172.16.4.0
172.16.0.0

S0
172.16.4.13
E0 E1

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)

interface ethernet 0
ip access-group 101 out

◦ Từ chối FTP từ subnet 172.16.4.0 đến subnet 172.16.3.0 ra ngài E0

◦ Cho phép tất cả luồng dữ liệu khác
 Extended Access List
Ví dụ 2
Non-
172.16.3.0 172.16.4.0
172.16.0.0

S0
172.16.4.13
E0 E1

access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23

access-list 101 permit ip any any
(implicit deny all)
interface ethernet 0
ip access-group 101 out

◦ Từ chối Telnet từ subnet 172.16.4.0 ra khỏi E0

◦ Cho phép tất cả luồng còn lại
Tổng kết

◦ ACLs có thể được dùng để lọc gói tin hoặc phân loại luồng dữ
liệu cho những mục đích cụ thể.
◦ ACLs thực thi tiến trình xử lý từ trên xuống và được cấu hình
cho luồng dữ liệu đi vào hoặc đi ra.
◦ Có thể tạo một ACL dùng một tên hoặc số. Named hoặc
numbered ACLs có thể được cấu hình như standard hay
extended ACLs.
◦ Reflexive, dynamic, và time-based ACLs thêm nhiều tính năng
cho standard và extended ACLs.
◦ Tong một wildcard bit mask, một bit 0 nghĩa là phù hợp với bit
tương ứng và bit 1 nghĩa là từ chối bit tương ứng.