Professional Documents
Culture Documents
Lọc: Quản lý luồng dữ liệu bởi cơ chế lọc gói tin đi qua Router.
Phân loại: Xác nhận luồng dữ liệu cho những mục đích cụ thể.
Ứng dụng của ACL: Bộ lọc
Phân loại luồng dữ liệu dựa trên quá trình kiểm tra gói tin.
Hoạt động của ACL chiều ra
Gói tin
Chọn cổng S0
Gói tin đi vào
Y
cổng giao diện Cổng ra
Có entry
trong
Bảng route
?
Access N
N
List
?
Y
Xô chứa
những gói
tin bị từ
chối
Hoạt động của ACL chiều ra
Gói tin
Chọn cổng S0
Gói tin đi vào
Y Cổng ra
cổng giao diện
Kiểm tra
Có entry ACL
trong E0
Bảng route
? Gói tin
Access N
N
List Y
? Cho phép
?
Y
Xô chứa
những gói
tin bị từ
chối
Hoạt động của ACL chiều ra
Gói tin
Chọn cổng S0
Gói tin đi vào
Y Cổng ra
cổng giao diện
Kiểm tra
Có entry ACL
trong E0
Bảng route
? Gói tin
Access N
N
List Y
? Cho phép
?
Y
N
Từ chối gói tin
Điểm đến
Xô chứa
những gói Từ chối
tin bị từ
chối
Danh sách các bước kiểm tra: Cho phép hay
loại bỏ
Phù hợp bước
kiểm
Gói tin đến cổng theo tra đầu
chiều access-group Y tiên Y
N?
Xô chứa
những gói Từ chối
tin bị từ
chối
Danh sách các bước kiểm tra: Cho phép hay
loại bỏ
Standard ACL
Kiểm tra địa chỉ nguồn
Chỉ cho phép hoặc từ chối toàn bộ bộ giao thức
Extended ACL
Kiểm tra địa chỉ nguồn và đích
Cho phép hay từ chối giao thức hay ứng dụng cụ thể.
Hai phương pháp dùng để xác nhận standard và
extended ACLs:
Numbered ACLs dùng một số cho việc xác nhận
Named ACLs dùng một tên hay chuỗi số cho việc xác nhận
Cách thức để xác nhận ACL
Numbered standard IPv4 lists (1–99) kiểm tra điều kiện cho tất cả gói tin
về địa chỉ nguồn. Dãy mở rộng (1300–1999).
Numbered extended IPv4 lists (100–199) kiểm tra điều kiện địa chỉ
nguồn và đích, giao thức TCP/IP cụ thể, và port đích. Dãy mở rộng
(2000–2699).
Named ACLs xác nhận IP standard and extended ACLs trong một chuỗi
(tên).
Dãy số ACL
Step 1: Thiết lập các biến cho Acl (có thể một hay vài biến)
Router(config)#
Step 1: Thiết lập các biến cho Acl (có thể một hay vài biến)
Router(config)#
Router(config-if)#
{ protocol } access-group access-list-number {in | out}
Frame
Gói tin Segment
Header
(IP header) (ví dụ, Dữ liệu
(ví dụ,
HDLC) TCP header)
Số Port
Giao thức
Địa chỉ nguồn Dùng
access
Địa chỉ đích list statements
1-99 hoặc 100-199
kiểm tra
Từ chối gói Cho phép
Wildcard Bits: Cách thức kiểm tra bit tương ứng
Examples
check all address bits
0 0 0 0 0 0 0 0 = (match all)
Điều kiện kiểm tra: Từ chối tất cả các bit (match any)
Any IP address
0.0.0.0
0 0 0 1 0 0 0 0
Wildcard mask: 0 0 0 0 1 1 1 1
|<---- match ---->|<----- don’t care ----->|
0 0 0 1 0 0 0 0 = 16
0 0 0 1 0 0 0 1 = 17
0 0 0 1 0 0 1 0 = 18
: :
0 0 0 1 1 1 1 1 = 31
Dynamic ACLs
Time-based ACLs: Cho pép điều khiển truy nhập dựa trên thời gian
của ngày và tuần
Standard .vs Extended ACL
Standard Extended
Cho phép hay từ chối toàn bộ Một giao thức hay port cụ
bộ giao thức thể
Non-
172.16.3.0 172.16.0.0 172.16.4.0
S0
172.16.4.13
E0 E1
interface ethernet 0
ip access-group 1 out
interface ethernet 1
ip access-group 1 out
S0
172.16.4.13
E0 E1
Non-
172.16.3.0 172.16.4.0
172.16.0.0
S0
172.16.4.13
E0 E1
interface ethernet 0
ip access-group 101 out
S0
172.16.4.13
E0 E1
◦ ACLs có thể được dùng để lọc gói tin hoặc phân loại luồng dữ
liệu cho những mục đích cụ thể.
◦ ACLs thực thi tiến trình xử lý từ trên xuống và được cấu hình
cho luồng dữ liệu đi vào hoặc đi ra.
◦ Có thể tạo một ACL dùng một tên hoặc số. Named hoặc
numbered ACLs có thể được cấu hình như standard hay
extended ACLs.
◦ Reflexive, dynamic, và time-based ACLs thêm nhiều tính năng
cho standard và extended ACLs.
◦ Tong một wildcard bit mask, một bit 0 nghĩa là phù hợp với bit
tương ứng và bit 1 nghĩa là từ chối bit tương ứng.