- Chứa các IP, Network
- Chỉ có tác dụng khi áp dụng trên interface của router.
- Khi đưa ACL vào Router thi lúc này Router sẽ trở thành Firewall => mặc định của firewall sẽ là deny
- Trong 1 chiều của 1 interface ta chỉ viết được 1 ACL
- Trong ACL có thể thay thế khi là 1 địa chỉ IP cụ thể thay vì 192.168.1.1 0.0.0.255 thì có thể thay bằng host 192.168.1.1
- Luôn quản lý tập trung nghĩa là nên viết 1 Acl nhưng có thể có nhiều dòng còn hơn nhiều ACL vì như thế hiệu năng Router xử lý tốt hơn
- Nên viết ACL ra notepad rồi mới copy lên route vì khi xóa 1 dòng ACL thì ACL sẽ mất hết đối với dạng Standard và Extended
2. Standar access list
- Chỉ quan tâm đến source IP
- Cú pháp:
- n: nằm trong 1 -> 99
- Cho phép thay thế cụm "source IP wildcard-mask" bằng "any" khi không xác định được nguồn
- Nên áp ACL trên cổng gần đích đến nhất
- Phải đưa ACL vào interface đúng chiều thì mới có tác dụng
3. Extend access-list
- Cú pháp:
- n : > 99
- source.port, des.port phải khai báo dạng
- eq port: vd: =80
- lt port: vd: < 80
- gt port: cd: >80
- Áp vào interface
=> ở đây ta có thể bõ trống
- ví dụ:
- Chỉ có ở CISCO version 12.1 trở về sau
- Cho phép xóa 1 dòng mà không bị mất hết
- Có thể chèn 1 dòng vào 1 vị trí bất kì
- Cú pháp
- sequence number: chính là vị trí, thứ tự của dòng trong
- Trong name ACL thì khi ta gõ vào 1 dòng thì số thứ tự của nó tăng lên 10 để ta có thể chèn vào giữa nếu cần thêm lệnh ACL
- phần còn lại tùy vào mode nếu mode standard thì gõ theo kiểu standar
- nêu mode ext thì gõ theo cú pháp còn lại của extended
Không có nhận xét nào:
Đăng nhận xét