Cơ bản về Access-List

1. Khái niệm Acess-list

ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

2. Mục đích sử dụng ACLs

Quản lý các IP traffic
Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router
Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing)
Thuận tiện cho việc lọc gói tin ip
Cung cấp tính sẵn sàn mạng cao

3. Hoạt động của ACLs

Khi gói tin đến Router, thiết bị tuần tự kiểm tra đối chiếu với các ACEs trong ACLs để quyết định cho phép gói tin đi qua Interface hay từ chối. Các ACEs trong ACLs được kiểm tra tuần tự từ ACE đầu tiên đến ACE cuối cùng. Nếu ACE nào đó thỏa điều kiện thì các ACE sau khi cần kiểm tra. Cuối ACLs là một ACE không tường minh từ chối không cho phép gói tin đi qua. Do đó, nếu gói tin không thỏa điều kiện các ACEs trên thì gói tin sẽ bị đánh rơi.

4. Các loại ACLs

Có 2 loại Access lists là: Standard Access lists và Extended Access lists

– Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích (Destination).
– Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header”. Nên đặt gần nguồn (source)

5. Cách đặt ACLs

a) Inbound ACLs:

+ Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface). Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao (transmission).

b) Outbound ACLs.

+Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue).

CHÚ Ý:

Standed: đặt access-list ở gần đích
Extended:đặt access-list ở gần nguồn ( tăng băng thông do route không làm việc xử lý nhiều) đúng với permit any(cuối dùng)

6. Cấu hình Standard Access List

Cấu trúc lệnh cấu hình standard ipv4 numbered ACLs :

Tham số

Giải thích

Access-list-number Định danh số của một ACL, sử dụng số thập phân từ 1-99 và 1300-1999
Deny Từ chối lưu lượng truyền thông nếu thỏa điều kiện
Permit Cho phép lưu lượng qua nến thỏa điều kiện
Remark Mô tả chức năng của ACL, làm cho ACL dễ dàng để hiểu. Mỗi remark giới hạn 100 ký tự.
Source Là mạng, host nguồn gói tin. Có hai cách để chỉ định nguồn gói tin:

–          Sử dụng 32 bit để chỉ định nguồn gói tin;

–          Hoặc có thể sử dụng từ khóa thay thế

Chú ý: nếu nguồn là host thì ta chỉ định source là host, sau đó là địa chỉ của host. Nếu nguồn là bất kỳ thì ta dùng từ khóa any.

source-wildcard  32 bits wildcard mask được áp dụng với nguồn
Log Thông điệp ghi lại thông tin về các gói tin thỏa ACEs. Thông điệp này gồm thông tin về chỉ số ACL mà gói tin được phép thông qua hay từ chối, địa chỉ nguồn và số gói tin. Thông điệp được tạo ra khi gói tin đầu tiên thỏa ACE và định kỳ 5 phút.

Chú ý: Do ACLs được kiểm tra tuần tự từ trên xuống nên khi tạo ACLs cần chú ý các ACL ở trên không phủ định các ACLs dưới, các lệnh ACLs cụ thể đặt ở trên; các ACLs chung chung nên đặt gần cuối.

7. Cấu hình Extended Access list

Tham số

Giải thích

Access-list-number Định danh số của một ACL, sử dụng số thập phân từ 100-199 và 2000-2699
Deny Từ chối lưu lượng truyền thông nếu thỏa điều kiện
Permit Cho phép lưu lượng qua nến thỏa điều kiện
Remark Mô tả chức năng của ACL, làm cho ACL dễ dàng để hiểu. Mỗi remark giới hạn 100 ký tự.
Protocol Tên hoặc số của giao thức Internet. Từ khóa thường dùng gồm: IP, TCP, UDP. Để thỏa bất kỳ giao thức Internet nào ta dùng từ khóa IP.
Source Là mạng, host nguồn gói tin.
source-wildcard  32 bits wildcard mask được áp dụng với nguồn.
Destination Mạng hoặc host đích gói tin.
Destination-wildcard 32 bits wildcard mask được áp dụng với đích.
Operator So sánh cổng nguồn hoặc cổng đích. Toán tử so sánh có thể gồm: lt(less than), gt (greater than), eq (equal), neq (not equal), và range(vùng loại trừ)
Port Số thập phân hoặc tên của cổng TCP hoặc UDP
Established Chỉ cho phép luồng truyền thông đã thiết lập kết nối trước đó.

 

Bình luận