1. Đôi điều về IP Access-List trong IOS
Tui thấy các bạn CCNA mấy bữa nay hay hỏi về Wildcard, với một chút kinh nghiệm (không
chắc đã hoàn toàn chính xác ), tui xin đóng góp mấy ý về vấn đề này. Mong các cao thủ bổ
sung thêm.
I. Cisco sử dụng ACL như thế nào:
• ACL - Access-Control List (tui chỉ đề cập tới IP ACL, trừ khi có chỉ định rõ ràng - vì
các cái khác có xài nhưng ko rành, lâu quá rồi )
• Mục tiêu sử dụng:
o ACL được sử dụng cho lưu thông Layer 3 (routable traffic)
o ACL dùng để xác định các gói tin lưu chuyển vào/ra trên các giao diện router,
kết quả sau khi xác định (lọc) có thể sử dụng vào nhiều mục đích khác nhau,
như:
 Xử lý với các chính sách an ninh (xác thực, firewall, VPN)
 Xử lý với các chính sách định tuyến (destination-/source-based routing)
 Xử lý với các chính sách NAT/PAT
 ...
• Cách thức áp dụng
o Trong một ACL, các mục kê được đối chiếu tuần tự từ trên xuống, khi đã có
một mục có điều kiện khớp (match) với nội dung gói tin thì các mục sau đó
được bỏ qua. Nếu không có điều kiện nào khớp, giá trị ngầm định sẽ được áp
dụng.
o Thông thường, trong một ACL, giá trị ngầm định là DENY (có thiết bị như
Juniper Netscreen cho phép thay đổi giá trị mặc định toàn cục). Khi muốn
tránh áp dụng giá trị ngầm định này, ta phải khai báo luật rõ ràng cho các gói
tin có thông số không khớp với các mục kê trên đó (vd: PERMIT ANY).
o Ví dụ về các bước xử lý định tuyến gói tin với ACL có thể thấy trong hình sau:
• Cách định danh ACL (ai cũng biết )
o IP: số 1-99 và 1300-1999 (Standard), 100-199 và 2000-2699 (Extended), và
chuỗi ký tự tên (từ IOS 11.2)
o IPX: số 800-899 (Standard), 1000-1099 (SAP filter)
o AppleTalk: số 600-699
• Các loại IP ACL
o IP ACL của Cisco có 2 loại: Standard và Extended