Tam Tran
  • VMware
    • All
    • Licensing
    • Triển khai vSphere
    • VMware Partner Connect
    • vSAN
    • vSphere
    Tổng quan toàn bộ sản phẩm của VMWare

    Hướng dẫn triển khai ảo hóa VMware vSphere toàn tập

    Hướng dẫn tạo tài khoản và tải phần mềm VMware

    Hướng dẫn tạo tài khoản và tải phần mềm VMware

    Hướng dẫn cài đặt ESXi host

    Hướng dẫn cài đặt ESXi host

    Hướng dẫn cài đặt VMware vCenter không cần DNS Server

    Hướng dẫn cài đặt VMware vCenter không cần DNS Server

    Triển khai Microservice Application demo trên TKG

    Triển khai Microservice Application demo trên TKG

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 3)

    Hướng dẫn ký Certificate bằng EasyRSA

    Hướng dẫn ký Certificate bằng EasyRSA

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 1)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 1)

  • Network
    • All
    • Tự học CCNA
    Lợi ích điện toán biên (edge computing)

    Lợi ích điện toán biên (edge computing)

    Access List – ACL

    Access List – ACL

    OSPF

    OSPF

    EtherChannel

    EtherChannel

    Dự phòng Default Gateway

    Dự phòng Default Gateway

    Network Programmability and Automation

    Network Programmability and Automation

    Spanning-Tree Protocol (STP)

    Spanning-Tree Protocol (STP)

    DHCP

    DHCP

    Định tuyến giữa các Vlan

    Định tuyến giữa các Vlan

    • Tự học CCNA
  • Ebook
    Mastering Ansible

    Mastering Ansible

    Network Programmability and Automation Fundamentals

    Network Programmability and Automation Fundamentals

    Mastering Ansible

    Programming and Automating Cisco Networks

    Network Automation Made Easy

    Network Automation Made Easy

    Network Programmability and Automation

    Network Programmability and Automation

    Ebook Cisco Software Defined Wide Area Networks (SDWAN)

    Ebook Cisco Software Defined Wide Area Networks (SDWAN)

    Ebook Cisco DEVCOR 350-901 Study Guide

    Ebook Cisco DEVCOR 350-901 Study Guide

    Ebook DEVASC 200-901 – DevNet Associate

    Ebook DEVASC 200-901 – DevNet Associate

    Ebook ENCOR 350-401 – CCNP and CCIE Enterprise Core

    Ebook ENCOR 350-401 – CCNP and CCIE Enterprise Core

  • Website
    Cách viết bài chuẩn SEO

    Cách viết bài chuẩn SEO

    Phân biệt Category và Tag

    Phân biệt Category và Tag

  • Applications
    Container là gì?

    Container là gì?

    Mối liên hệ giữa Container và microservice

    Mối liên hệ giữa Container và microservice

    So sánh kiến trúc Monolithic và Microservice

    So sánh kiến trúc Monolithic và Microservice

liên hệ
No Result
View All Result
Tam Tran
  • VMware
    • All
    • Licensing
    • Triển khai vSphere
    • VMware Partner Connect
    • vSAN
    • vSphere
    Tổng quan toàn bộ sản phẩm của VMWare

    Hướng dẫn triển khai ảo hóa VMware vSphere toàn tập

    Hướng dẫn tạo tài khoản và tải phần mềm VMware

    Hướng dẫn tạo tài khoản và tải phần mềm VMware

    Hướng dẫn cài đặt ESXi host

    Hướng dẫn cài đặt ESXi host

    Hướng dẫn cài đặt VMware vCenter không cần DNS Server

    Hướng dẫn cài đặt VMware vCenter không cần DNS Server

    Triển khai Microservice Application demo trên TKG

    Triển khai Microservice Application demo trên TKG

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 3)

    Hướng dẫn ký Certificate bằng EasyRSA

    Hướng dẫn ký Certificate bằng EasyRSA

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 1)

    Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 1)

  • Network
    • All
    • Tự học CCNA
    Lợi ích điện toán biên (edge computing)

    Lợi ích điện toán biên (edge computing)

    Access List – ACL

    Access List – ACL

    OSPF

    OSPF

    EtherChannel

    EtherChannel

    Dự phòng Default Gateway

    Dự phòng Default Gateway

    Network Programmability and Automation

    Network Programmability and Automation

    Spanning-Tree Protocol (STP)

    Spanning-Tree Protocol (STP)

    DHCP

    DHCP

    Định tuyến giữa các Vlan

    Định tuyến giữa các Vlan

    • Tự học CCNA
  • Ebook
    Mastering Ansible

    Mastering Ansible

    Network Programmability and Automation Fundamentals

    Network Programmability and Automation Fundamentals

    Mastering Ansible

    Programming and Automating Cisco Networks

    Network Automation Made Easy

    Network Automation Made Easy

    Network Programmability and Automation

    Network Programmability and Automation

    Ebook Cisco Software Defined Wide Area Networks (SDWAN)

    Ebook Cisco Software Defined Wide Area Networks (SDWAN)

    Ebook Cisco DEVCOR 350-901 Study Guide

    Ebook Cisco DEVCOR 350-901 Study Guide

    Ebook DEVASC 200-901 – DevNet Associate

    Ebook DEVASC 200-901 – DevNet Associate

    Ebook ENCOR 350-401 – CCNP and CCIE Enterprise Core

    Ebook ENCOR 350-401 – CCNP and CCIE Enterprise Core

  • Website
    Cách viết bài chuẩn SEO

    Cách viết bài chuẩn SEO

    Phân biệt Category và Tag

    Phân biệt Category và Tag

  • Applications
    Container là gì?

    Container là gì?

    Mối liên hệ giữa Container và microservice

    Mối liên hệ giữa Container và microservice

    So sánh kiến trúc Monolithic và Microservice

    So sánh kiến trúc Monolithic và Microservice

No Result
View All Result
Tam Tran
No Result
View All Result
Trang chủ Network

Access List – ACL

Access List – ACL
Share on FacebookShare on Twitter

Mục lục

  • Access List – ACL là gì
  • Cách hoạt động của ACL
  • Các loại ACLs
    • Có hai loại IPv4 ACL:
    • Có hai hình thức cấu hình ACL
  • Nơi đặt ACL
    • Ví dụ vị trí đặt của Standard ACL
    • Ví dụ vị trí đặt của Extended ACL
  • Lưu ý khi cấu hình ACL
    • Giới hạn số lượng ACL trên một Interface
    • ACL Best Practices

Access List – ACL là gì

ACL là một loạt các lệnh điều kiện được sử dụng để lọc gói tin, dựa trên thông tin trong header của gói tin. Theo mặc định, Router không có bất kỳ ACL nào được cấu hình sẵn. Khi ACL được áp dụng vào một router interface, Router sẽ thực hiện thêm nhiệm vụ là đánh giá tất cả các gói tin khi chúng đi qua interface để xác định xem gói có thể được chuyển tiếp hay không.

  • Một ACL sử dụng một danh sách tuần tự các câu lệnh để Permit (cho phép) hoặc Deny (chặn), được gọi access control entries (ACE). ACE cũng thường được gọi là ACL statements.
  • Khi traffic đi qua một interface được định cấu hình ACL, Router sẽ so sánh thông tin trong gói với từng ACL statements, theo thứ tự tuần tự, để xác định xem gói có khớp với một trong các ACL statements. Quá trình này được gọi là lọc gói tin, quá trình này xảy ra ở Layer 3 và Layer 4

Một số tác vụ trên Router sử dụng ACL để xác định lưu lượng:

  • Hạn chế lưu lượng mạng để tăng hiệu suất mạng
  • Điều khiển, kiểm soát lưu lượng
  • Cung cấp mức bảo mật cơ bản
  • Lọc dựa trên loại lưu lượng
  • Lọc host để cho phép hoặc từ chối truy cập vào các dịch vụ mạng
  • Cung cấp mức độ ưu tiên cho các loại lưu lượng mạng nhất định

Cách hoạt động của ACL

  • ACL viết ra một danh sách rules (điều kiện) để giúp kiểm soát các gói tin đi vào interface, gói tin chuyển tiếp qua router hoặc  gói tin đi ra khỏi interface của router.
  • ACL có thể được cấu hình để áp dụng cho lưu lượng truy cập vào (inbound traffic) và ra (outbound traffic)
  • Lưu ý: ACL không hoạt động trên các gói bắt nguồn từ Router của nó.
  • Inbound ACL lọc các gói tin trước khi chúng được định tuyến đến outbound interface. Inbound ACL hiệu quả vì nó tiết kiệm thời gian và tài nguyên để tra cứu bảng định tuyến nếu gói bị loại bỏ.
  • Outbound ACL lọc các gói sau khi được định tuyến, bất kể gửi đến interface nào.

Khi một ACL được áp dụng cho một interface, nó sẽ hoạt động tuân theo một quy trình cụ thể. Dưới đây là cách ACL xử lý khi khi lưu lượng vào một interface trên router nơi IPv4 ACL Standard được cấu hình:

  1. Router trích xuất địa chỉ IPv4 nguồn từ Header của gói tin.
  2. Router bắt đầu kiểm tra từ đầu ACL để so sánh địa chỉ IPv4 nguồn với từng ACL statements theo thứ tự tuần tự.
  3. Khi khớp với ACL statement, Router thực hiện lệnh: Permit (cho phép) hoặc Deny (chặn) gói tin; Các statement còn lại trong ACL, nếu có, sẽ không được thực hiện tiếp.
  4. Nếu địa chỉ IPv4 nguồn không khớp với bất kỳ statement nào trong ACL, gói sẽ bị drop (loại bỏ) vì có một statement Deny ngầm, được tự động áp dụng cho tất cả các ACL.

Note:

  1. Statement ngầm cuối cùng của một ACL luôn là Deny – chặn tất cả lưu lượng. Nó bị ẩn và không hiển thị trong cấu hình.
  2.  Một ACL phải có ít nhất một câu lệnh Permit nếu không tất cả lưu lượng sẽ bị chặn statement Deny ngầm.

Các loại ACLs

Có hai loại IPv4 ACL:

Standard ACLs (ACL tiêu chuẩn) – Cho phép hoặc chặn các gói tin chỉ dựa trên địa chỉ IPv4 nguồn.
Extended ACLs (ACL mở rộng) – Cho phép hoặc chặn các gói tin dựa trên địa chỉ IPv4 nguồn/đích, loại giao thức, TCP/UDP, port nguồn/đích, v.v.

Có hai hình thức cấu hình ACL

Numbered ACLs (ACL được đánh số)
ACL được đánh số 1-99 hoặc 1300-1999 là ACL tiêu chuẩn, trong khi ACL được đánh số 100-199 hoặc 2000-2699 là ACL mở rộng.

Named ACLs (ACL được đặt tên)

ACL được đặt tên là phương pháp nên ưu tiên sử dụng khi định cấu hình ACL. Cụ thể, ACL tiêu chuẩn và mở rộng có thể được đặt tên để cung cấp thông tin về mục đích của ACL. Ví dụ: đặt tên cho ACL mở rộng FTP-FILTER tốt hơn nhiều so với việc đặt tên cho ACL 100.

Lệnh ip access-list được sử dụng để tạo ACL có tên, như minh họa trong ví dụ sau.

Nơi đặt ACL

Mỗi ACL nên được đặt ở nơi mà nó có thể hoạt động hiệu quả nhất

  • ACL mở rộng phải được đặt càng gần nguồn lưu lượng cần lọc càng tốt.
  • ACL tiêu chuẩn nên được đặt càng gần đích càng tốt.

Ví dụ vị trí đặt của Standard ACL

Trong hình, quản trị viên muốn chặn lưu lượng bắt nguồn từ mạng 192.168.10.0/24 đến mạng 192.168.30.0/24.

 

Có hai interface trên R3 có thể đặt ACL tiêu chuẩn:

  • Interface R3 S0/1/1 (inbound) – ACL tiêu chuẩn có thể được áp dụng trên hướng vào interface R3 S0/1/1 để chặn lưu lượng truy cập từ mạng .10. Tuy nhiên, nó cũng sẽ lọc lưu lượng truy cập .10 vào mạng 192.168.31.0/24 (.31 trong ví dụ này). Do đó, ACL tiêu chuẩn không nên đặt cho interface này.
  • Interface R3 G0/0 (outbound) – ACL tiêu chuẩn có thể được áp dụng hướng đi ra interface R3 G0/0/0. Điều này sẽ không ảnh hưởng đến các mạng khác mà R3 có thể truy cập được. Các gói từ mạng .10 vẫn có thể truy cập mạng .31. Đây là interface tốt nhất để đặt ACL tiêu chuẩn đáp ứng yêu cầu.

Ví dụ vị trí đặt của Extended ACL

Trong hình, Công ty A muốn chặn lưu lượng Telnet và FTP đến mạng 192.168.30.0/24 của Công ty B từ mạng 192.168.11.0/24 của họ, trong khi vẫn cho phép tất cả các lưu lượng khác.

ACL mở rộng trên R3 sẽ làm được việc chặn theo yêu cầu, nhưng Admin không kiểm soát R3. Giải pháp sẽ là đặt một ACL mở rộng trên R1 chỉ định cả địa chỉ nguồn và đích.

Có hai interface khả thi trên R1 để đặt ACL mở rộng:

  • Interface R1 S0/1/0 (ra) – ACL mở rộng có thể được áp dụng ra trên interface S0/1/0. Giải pháp này sẽ xử lý tất cả các gói rời khỏi R1 bao gồm các gói từ 192.168.10.0/24.
  • Interface R1 G0/0/1 (vào) – ACL mở rộng có thể được đặt trên G0/0/1 và chỉ các gói từ mạng 192.168.11.0/24 mới được xử lý ACL trên R1. Vì filter chỉ giới hạn ở những gói rời khỏi mạng 192.168.11.0/24 nên việc áp dụng ACL mở rộng cho G0/1 là giải pháp tốt nhất.

Lưu ý khi cấu hình ACL

Giới hạn số lượng ACL trên một Interface

Có giới hạn về số lượng ACL có thể được áp dụng trên một interface của router. Ví dụ: một dual-stack interface (IPv4 và IPv6) có thể áp dụng tối đa 4 ACL, như thể hiện trong hình.


Cụ thể, một router interface có thể có:

  • Một outbound IPv4 ACL.
  • Một inbound IPv4 ACL.
  • Một inbound IPv6 ACL.
  • Một outbound IPv6 ACL.

Lưu ý: ACL không nhất thiết phải được cấu hình theo cả hai hướng. Số lượng ACL và hướng của chúng được áp dụng cho interface sẽ phụ thuộc vào chính sách bảo mật của tổ chức.

ACL Best Practices

Sử dụng ACL đòi hỏi phải chú ý đến từng chi tiết và cẩn thận. Sai lầm có thể gây downtime hệ thống cũng như công sức để khắc phục sự cố và ảnh hưởng đến chất lượng dịch vụ. Cần lập kế hoạch trước khi cấu hình ACL.

Hướng dẫn Lợi ích
Dựa trên các chính sách bảo mật của tổ chức để xây dựng ACLs Đảm bảo việc triển khai ACLs phù hợp với các quy định bảo mật của tổ chức.
Ghi rõ mục đích của ACLs Giúp tránh tình trạng tạo ra các vấn đề tiềm ẩn.
Sử dụng trình soạn thảo văn bản để tạo, chỉnh sửa và lưu trữ tất cả các ACLs Giúp bạn tạo ra một thư viện ACLs có thể tái sử dụng, dễ dàng chỉnh sửa, đánh giá lại và quản lý hiệu quả.
Tài liệu hóa các ACLs bằng lệnh “remark” Thêm chú thích vào các quy tắc ACLs bằng lệnh “remark” giúp cung cấp tài liệu rõ ràng về mục đích và ý định của mỗi ACL statement, giúp dễ dàng hiểu được cách thức triển khai các rules đã đề ra.
Kiểm tra các ACLs hệ thống test trước khi triển khai trên production Kiểm tra ACLs trong một môi trường mạng test trước khi áp dụng chúng vào mạng production giúp xác định và giải quyết các vấn đề hoặc xung đột trước khi gây ra những lỗi nghiêm trọng hoặc gây gián đoạn

 

Tags: Tự học CCNA
Next Post
Cài đặt VMware NSX Advanced Load Balancer Essentials for Tanzu

Cài đặt VMware NSX Advanced Load Balancer Essentials for Tanzu

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Recommended.

Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 2)

November 5, 2023
Lợi ích điện toán biên (edge computing)

Lợi ích điện toán biên (edge computing)

June 29, 2023

Trending.

Hướng dẫn cài đặt Veritas Backup Exec

Hướng dẫn cài đặt Veritas Backup Exec

February 14, 2025
Tổng quan toàn bộ sản phẩm của VMWare

Hướng dẫn triển khai ảo hóa VMware vSphere toàn tập

November 6, 2023
Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 1)

Hướng dẫn triển khai VMware Tanzu với NSX-ALB (Phần 1)

November 5, 2023
Hướng dẫn tạo tài khoản và tải phần mềm VMware

Hướng dẫn tạo tài khoản và tải phần mềm VMware

November 6, 2023
Cách giao thức TCP hoạt động

Cách giao thức TCP hoạt động

November 4, 2023

Tam Tran là một blog cá nhân, nơi chia sẻ những tin tức, sản phẩm, và giải pháp công nghệ thông tin mới nhất từ các hãng công nghệ nổi tiếng.

Follow Us

  • About
  • Advertise
  • Privacy & Policy
  • Contact

No Result
View All Result
  • Trang chủ
  • Network
  • VMware
    • Licensing
  • Applications
  • Website
  • Kubernetes
  • Ebook

Insert/edit link

Enter the destination URL

Or link to existing content

    No search term specified. Showing recent items. Search or use up and down arrow keys to select an item.