Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0
Chương 7
Danh sách điều khiển truy cập
(Access Control List)
Mục đích
Chương này nhằm giới thiệu cho người đọc những vấn đề sau :
• Danh sách truy cập là gì
• Nguyên tắc hoạt động của danh sách truy cập
• Danh sách truy cập trong chuẩn mạng TCP/IP

Biên soạn : Th.s Ngô Bá Hùng – 2005
73
Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0
7.1 Giới thiệu
Các mạng có sử dụng chọn đường đầu tiên đã nối một tập nhỏ các mạng LAN và
các máy tính lại với nhau. Kế tiếp nhà quản trị mạng mở rộng các nối kết của router sang
các mạng bên ngoài. Sự gia tăng của việc sử dụng Internet đã mang đến nhiều thách thức
đối với việc điều khiển truy cập. Các công nghệ mới hơn như mạng đường trục bằng cáp
quang cho đến các dịch vụ băng thông rộng và những bộ hoán chuyển tốc độ cao đã làm
gia tăng nhiều hơn các thách thức trong điều khiển truy cập mạng.
Các nhà quản trị đang đối mặt với các vấn đề có tính tiến thoái lưỡng nan như: Làm
sao từ chối các nối kết không mong muốn trong khi vẫn cho phép các truy cập hợp lệ ?
Mặc dù các công cụ như mật khẩu, các thiết bị phản hồi và các thiết bị an toàn vật lý thì
hữu ích, chúng thường thiếu sự diễn giải mềm dẽo và những cơ chế điều khiển mà hầu hết
các nhà quản trị mạng mong muốn.

Hình 7.1 – Vấn đề an ninh trong mạng diện rộng
Danh sách truy cập (Access list) hay còn gọi Danh sách điều khiển truy cập (Access
Control List) cung cấp một công cụ mạnh cho việc điều khiển mạng. Những danh sách này
đưa vào cơ chế mềm dẽo trong việc lọc dòng các gói tin mà chúng đi ra, đi vào các giao
diện của các router. Các danh sách này giúp mở rộng việc bảo vệ các tài nguyên mạng mà

Hình 7.2 – Ý nghĩa của danh sách truy cập chuẩn
 Danh sách truy cập mở rộng (Extended access list): Danh sách truy cập mở
rộng kiểm tra cho cả địa chỉ gởi và nhận của gói tin. Nó cũng kiểm tra cho
các giao thức cụ thể, số hiệu cổng và các tham số khác. Điều này cho phép
các nhà quản trị mạng mềm dẻo hơn trong việc mô tả những gì muốn danh
sách truy cập kiểm tra. Các gói tin được phép hoặc từ chối gởi đi tùy thuộc
vào gói tin đó được xuất phát từ đâu và đi đến đâu.
7.3 Nguyên tắc hoạt động của Danh sách truy cập
Danh sách truy cập diễn tả một tập hợp các qui luật cho phép đưa vào các điều
khiển các gói tin đi vào một giao diện của router, các gói tin lưu lại tạm thời ở router và
các gói tin gởi ra một giao diện của router. Danh sách truy cập không có tác dụng trên các
gói tin xuất phát từ router đang xét.
Biên soạn : Th.s Ngô Bá Hùng – 2005
75
Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0

Hình 7.3 – Nguyên tắc hoạt động của danh sách truy cập

Khởi đầu của tiến trình thì giống nhau không phân biệt có sử dụng danh sách truy
cập hay không: Khi một gói tin đi vào một giao diện, router kiểm tra để xác định xem có
thể chuyển gói tin này đi hay không. Nếu không được, gói tin sẽ bị xóa đi. Một mục từ
trong bảng chọn đường thể hiện cho một đích đến trên mạng cùng với chiều dài đường đi
đến đích và giao diện của router hướng về đích đến này.
Kế tiếp router sẽ kiểm tra để xác định xem giao diện hướng đến đích đến có trong
một danh sách truy cập không. Nếu không, gói tin sẽ được gởi ra vùng đệm cho ngỏ ra
tương ứng, mà không bị một danh sách truy cập nào chi phối.
Giả sử giao diện nhận đã được đặt trong một danh sách truy cập mở rộng. Nhà quản
trị mạng đã sử dụng các biểu thức luận lý, chính xác để thiết lập danh sách truy cập này.
Trước khi một gói tin có thể được đưa đến giao diện ra, nó phải được kiểm tra bởi một tập
các quy tắc được định nghĩa trong danh sách truy cập được gán cho giao diện.

kiện mà nó tạo ra kết quả đúng cho tất cả các gói tin. Một lệnh cài đặt cuối cùng thì bao
trùm cho tất cả các gói tin mà các bước kiểm tra trước đó đều không có kết quả đúng. Đây
là bước kiểm tra cuối cùng mà nó khớp với tất cả các gói tin. Nó là kết quả từ chối. Điều
này sẽ làm cho tất cả các gói tin sẽ bị bỏ đi.
7.3.1 Tổng quan về các lệnh trong Danh sách truy cập
Trong thực tế, các lệnh trong danh sách truy cập có thể là các chuỗi với nhiều ký tự.
Danh sách truy cập có thể phức tạp để nhập vào hay thông dịch. Tuy nhiên chúng ta có thể
đơn giản hóa các lệnh cấu hình danh sách truy cập bằng cách đưa chúng về hai loại tổng
quát sau:
Biên soạn : Th.s Ngô Bá Hùng – 2005
77