1. Giới thiệu
• Danh sách truy cập (Access list) hay còn gọi Danh sách điều khiển truy cập (Access Control List) cung cấp một công cụ mạnh cho việc điều khiển mạng.
• Những danh sách này đưa vào cơ chế mềm dẽo trong việc lọc dòng các gói tin mà chúng đi ra, vào các giao diện của các router.
• Các danh sách này giúp mở rộng việc bảo vệ các tài nguyên mạng mà không làm ảnh hưởng đến những dòng giao tiếp hợp lệ. Danh sách truy cập phân biệt giao thông của các gói tin ra thành nhiều chủng loại mà chúng được phép hay bị từ chối. Danh sách liên kết có thể được sử dụng để:
Nhận dạng các gói tin cho việc xếp thứ tự ưu tiên hay sắp xếp trong hàng đợi
Hạn chế hoặc giảm nội dung của thông tin cập nhật chọn đường.
• Danh sách truy cập cũng xử lý các gói tin cho các tính năng an toàn khác như:
Cung cấp cơ chế điều khiển truy cập động đối các gói tin
Nhận dạng các gói tin cho việc mã hóa
Nhận dạng các truy cập bằng dịch vụ Telnet được cho phép để cấu hình router.
2. Định nghĩa danh sách danh sách truy cập
Danh sách truy cập là những phát biểu dùng để đặc tả những điều kiện mà một nhà quản trị muốn thiết đặt nhờ đó cho router sẽ xử lý các cuộc truyền tải đã được mô tả trong danh danh truy cập theo một cách thức không bình thường.
Danh sách truy cập đưa vào những điều khiển cho việc xử lý các gói tin đặc biệt theo một cách thức duy nhất. Có hai loại danh sách truy cập chính là:
• Danh sách truy cập chuẩn (standard access list): Danh sách này sử dụng cho việc
kiểm tra địa chỉ gởi của các gói tin được chọn đường. Kết quả cho phép hay từ chối gởi đi cho một bộ giao thức dựa trên địa chỉ mạng/mạng con hay địa chỉ máy.
• Danh sách mở rộng (Extended access list): Danh sách mở rộng kiểm tra cho cả địa
cổng và các tham số khác. Các gói tin được phép hoặc từ chối gởi đi hoặc nhận tùy thuộc vào gói tin đó được xuất phát từ đâu và đi đến đâu
3. Nguyên tắc hoạt động của danh sách truy cập
Danh sách truy cập diễn tả một danh sách các qui luật mà nó cho phép thêm vào các điều khiển các gói tin đi vào một giao diện của router, các gói tin lưu lại tạm thời ở router và các gói tin gởi ra một giao diện của router.
Danh sách truy cập không có tác dụng trên các gói tin xuất phát từ router đang xét.
Các chỉ thị trong danh sách truy cập hoạt động một cách tuần tự. Chúng đánh giá các gói tin từ trên xuống. Nếu tiêu đề của một gói tin và một lệnh trong danh sách truy cập khớp với nhau, gói tin sẽ bỏ qua các lệnh còn lại. Nếu một điều kiện được thỏa mãn,
gói tin sẽ được cấp phép hay bị từ chối. Chỉ cho phép một danh sách trên một giao thức trên một giao diện.
4. Demo Access List
Topology
Cấu hình cho router
Để chặn các gói lưu thông từ nhánh mạng 172.16.2.0 đến router R3, ta đặt access- list dạng standard trên serial0/0 của router R3:
R3(config)#ip access-list STND-1 R3(config-std-nacl)#deny 172.16.2.0 0.0.0.255 R3(config-std-nacl)#permit any R3(config-std-nacl)#exit R3(config)#interface s0/0 R3(config-if)#ip ac R3(config-std-nacl)#deny 172.16.2.0 0.0.0.255