Access Control List (ACL): Khái niệm và Hướng dẫn cấu hình

Access Control List

Access Control List (ACL), hay còn được gọi là danh sách điều khiển truy cập, là một danh sách các quy tắc được áp dụng vào các cổng (giao diện) của thiết bị mạng. Danh sách này cho biết loại gói tin nào được chấp nhận và loại nào bị từ chối. Nhờ vào hệ thống nguồn, hệ thống trọng điểm hoặc chỉ số cổng, việc phê duyệt và từ chối này có thể được thực hiện.

Các loại ACL

ACL tiêu chuẩn (Standard ACL):

Loại ACL này chỉ quan tâm đến địa chỉ IP nguồn của gói tin IP, không bổ sung bất kỳ thông tin nào khác về gói tin.

ACL mở rộng (Extended ACL):

Loại ACL này bao gồm cả địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích và giao thức gốc (TCP, UDP, ICMP…) cùng với các thông số kỹ thuật khác của gói tin IP.

Các loại ACL khác:

Bên cạnh các loại ACL thiết yếu đã được đề cập, còn có một số loại ACL khác có thể được triển khai trong các trường hợp khác nhau, bao gồm ACL phản chiếu, ACL động, ACL dựa trên thời gian…

Nguyên tắc hoạt động của Access Control List

  • ACL tiêu chuẩn: Loại ACL này chỉ quan tâm đến địa chỉ IP nguồn của gói tin IP, không bổ sung bất kỳ thông tin nào khác về gói tin.
  • ACL mở rộng: Loại ACL này bao gồm cả địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích và giao thức gốc (TCP, UDP, ICMP…), cùng với các thông số kỹ thuật khác của gói tin IP.
  • Các loại ACL khác: Bên cạnh các loại ACL thiết yếu đã được đề cập, còn có thể triển khai các loại ACL khác trong các trường hợp khác nhau như ACL phản chiếu, ACL động, ACL dựa trên thời gian…
Xem thêm  Học ngành Kinh doanh quốc tế ra trường làm gì?

Access list là một trong danh sách các mục. Cấu hình ACL thường được thực hiện từ trên xuống dưới, mỗi mẫu chứa thông tin khớp với yêu cầu về gói tin được quan tâm, và mẫu đó sẽ được triển khai ngay lập tức, các mẫu còn lại sẽ được triển khai dựa trên ưu tiên.

Một quy tắc quan trọng nữa là các luật bắt đầu được khai báo sẽ được triển khai tự động thêm vào cuối ACL. Tuy nhiên, dòng sau cùng thực tế của một ACL luôn có một “deny” ngầm định, điều này có nghĩa là nếu gói tin không khớp với bất kỳ quy tắc nào, nó sẽ bị từ chối.

Cấu hình

Standard Access-list

Router(config)#access-list n permit source.IP. wildcard-mask
Router(config-if)# ip access-group n in

Extended Access-list

Router(config)#access-list n deny protocol (IP, TCP, UDP, ...) source.IP wildcard-mask source.port des.port
Router(config-if)# ip access-group n out

Để biết thêm chi tiết, truy cập vào Wiki Fin.

Thông tin tham khảo: