Đây là loại danh sách mở rộng truy cập, cho phép lọc đa dạng với nhiều tính năng hơn so với Standard ACL nên được sử dụng nhiều hơn. Exte nded ACL quan tâm đến các yếu tố như IP nguồn, IP đích, giao thức, port và nhiều tùy chọn khác. Chính vì vậy mà Extended ACL có thể hoạt động ở lớp 3 và lớp 4 trong mô hình OSI nhưng hoạt động ở lớp 4 cũng rất hạn chế, nó chỉ đọc thông tin ở phần header ở lớp giao vận.
hợp lý sẽ dẫn đến tình trạng hao tốn băng thông và độ trễ, để hiểu rõ hơn về vấn đề đó ta xét ví dụ bên dưới.
Hình 2.4: Mô hình ví dụ Extended ACL.
Ví dụ: Chặn network A không được truy cập giao thứ FTP với địa chỉ 222.255.128.147. Phân tích như sau: IP nguồn: network A, IP đích: 222.255.128.147, giao thức: FTP, port 21. Vấn đề là đặt ACL ở đâu là hợp lý nhất, chúng ta khảo sát các trường hợp sau để tìm ra câu trả lời.
+ Trường hợp 1: Đặt ACL tại Router B thì Router B hoàn toàn có thể chặn được network A truy cập giao thức FTP với IP là 222.255.128.147 nhưng liệu đặt ở B đã tối ưu hệ thống chưa. Gói tin chạy từ Router A đến Router B và bị chặn bởi Router B như vậy thì sẽ tốn băng thông đoạn từ A đến B. Ở ví dụ này là đang xét hệ thống mạng nhỏ nên chưa thấy được tầm quan trọng của việc tốn băng thông nhưng đối với hệ thống lớn việc để gói tin chạy “lòng vòng” trên mạng rồi bị chặn lại bởi Router sẽ làm cho hệ thống mạng chạy chậm và độ trễ cũng sẽ tăng lên nhiều khi hệ thống mạng còn bị
toàn được và đặt ở A cũng làm cho hệ thống mạng tối ưu nhất vì gói tin từ network A lên Router A sẽ bị chặn ngay không cho các gói tin chạy “lang thang” trên mạng dẫn đến là đỡ tốn băng thông và giảm độ trễ của hệ thống mạng.
Nguyên lý làm việc của Extended ACL cũng giống như Standard ACL nhưng nó phức tạp hơn nhiề
(1) Router có mở tính năng ACL lên hay không nếu có chuyển xuống bước (2) còn không thì chuyển đến bước (9).
(2) Kiểm tra IP nguồn có phù hợp với ACL đầu tiên hay không nếu có thì chuyển đến (3) còn không có thì chuyển đến bước (6) để lặp lại quá trình kiểm duyệt với các Rule tiếp theo.
(3) Tại đây nó kiểm tra giao thức của đích đến có được Rule trên ACL này cho qua hay không nếu đồng ý thì chuyển đến bước (4) thường là TCP hay IP ngược lại thì chuyển đến bước (6).
(4) Kiểm tra IP đích có phù hợp với các Rule trong ACL hay không, giả sử có thì chuyển xuống bước (5) và ngược lại thì sẽ chuyển đến bước (6).
(5) Tại bước này thì ACL sẽ so sánh chính xác giao thức và port của đích cần đến thường thì là các giao thức trong TCP thì có FTP, TELNET, HTTP,... Nếu Rule hợp lệ thì chuyển đến bước (8) và ngược lại chuyển đến bước (6) để kiểm tra lại các Rule còn lại.
(6) Tại đây nó xem thử có phải đã là Rule cuối cùng hay chưa nếu chưa phải thì tiếp tục xét các Rule còn lại là chuyển đến (7). Nếu đây là Rule cuối cùng rồi thì chuyển sang bước (10).
(8) Tại bước này cho phép hoặc không cho phép gó i tin đi qua. Nếu là cho phép thì sẽ chuyển đến bước (9) ngược lại thì chuyển đến (10).
(9) Trong bảng Routing table có địa chỉ IP đích đến hay không nếu có thì chuyển sang bước (12) ngược lại thì chuyển đến (10).
(10) Hủy gói tin và bước (11) là hiện thị thống báo không tìm thấy đích đến. (12) Gói tin được phép đi qua cổng interface này.
Lệnh cấu hình
Cấu hình Extended ACL phức tạp hơn Standard ACL nhiều, có nhiều tham số trong câu lệnh.
2000 đến 2699.
[deny/ permit/ remark]: Cho phép hoặc không cho phép gói tin đi qua Router, ghi chú hoặc mô tả thêm thông tin cho ACL đã cấu hình.
[protocol]: Giao thức hoạt động từ lớp 3 trở lên như: OSPF, EIGRP,... hay giao thức lớp 4 như: TCP hoặc UDP.
[source]: Địa chỉ IP nguồn của gói tin.
[source-wildcard]: Ký tự bit đại diện cho nguồn. Nó gần giống với Subnet mask phần sau sẽ tìm hiểu kỹ hơn.
[destination]: Địa chỉ IP đích của gói tin.
[destination-wildcard]: Ký tự bit đại diện cho đích.
[operator port]: So sánh các cổng nguồn và đích có thể bao gồm lt (nhỏ hơn), gt (lớn hơn), eq (bằng), neq (không bằng) và ta có thể nhập một khoảng phạm vi vào nhưng phải lớn hơn 0 và nhỏ hơn 65535.
[established]: Đối với giao thức TCP thì chỉ ra kết nối được thiết lập. [log]: Ghi lại các thông tin về những gói tin phù hợp với danh sách ACL.
Ví dụ: Cấm bất kì IP nào có thể telnet vào mạng 10.10.10.0/24 (inbound) và cho phép mạng 10.10.10.0/24 truy cập ftp với địa chỉ là 222.255.128.147 (outbound) trên Interface s0/0/0.
Cấm bất kì IP nào telnet vào mạng 10.10 .10.0/24
Phân tích: IP nguồn: là bất kì IP nào, wildcard của nguồn: 0.0.0.0, IP đích: 10.10.10.0/24, wildcard của đích: 0.0.0.255, giao thức TCP, port 23, theo chiều đi vào.
Router(config)# access-list 150 deny tcp any 10.10.10.0 0.0.0.255 eq 23 Router(config)#interface s0/0/0
Router(config-if)#ip access-group 150 in
Cho phép mạng 10.10.10.0/24 truy cập vào ftp với địa chỉ 222.255.128.147. Phân tích: IP nguồn: 10.10.10.0/24, wildcard của nguồn: 0.0.0.255, IP đích: 222.255.128.147, wildcard của đích: 0.0.0.0 , giao thức TCP, port 20, 21, theo chiều đi
Router(config)#access-list 110 permit tcp 10.10.10.0 0.0.0.255 222.255.128.147 eq 21
Router(config)#access-list 110 permit tcp 10.10.10.0 0.0.0.255 222.255.128.147 eq 20
Router(config)#interface s0/0/0
Router(config-if)#ip access-group 110 out
