Mọi người xem giùm nhé!
Example8-1.Standard Access list stopping Bob from reaching server:
int e0
ip add 172.16.1.1 255.255.255.0
ip access-group out
access-list 1 deny 172.16.3.10 0.0.0.0
access-list 1 permit 0.0.0.0 255.255.255.255
--------
Standard IP access lists use anumber between 1 and 99,inclusive----từ 1 đến 99 nghĩa là sao,những con số này có ý nghĩa gì?

Example 8-2.Standard access list Stopping Bob from reaching server 1:revised.
int e0
ip add 172.16.1.1 255.255.255.0
ip access-group 1
access-list 1 deny host 172.16.3.10
access-list 1permit any

The commands in Exam8-1 are changer based on three factors.First,"out" is thedefault direction for access list,so the router would omit the "out" keywork of the ip access-group command.Secondthe use of the wildcard mask of 0.0.0.0is the old way to configure an access list to match a pecific host's ip address.The new style is to code the "host" keywork in frond of the ip add.When you type a wildcard of 0.0.0.0 ,the router replace the configuration with the newer "host" keywork.Finally when you use an ip add and a wildcard mask of 255.255.255.255 ,the keywork "any" is used to replaceboth paramater ,"any" simply means that any ip add is matched.
Giải thích đoạn này "The commands in Exam 8-1...matched" giùm mình.
Thanhs!

Đoạn này có gì mà không hiểu đâu:
- out: Cisco khuyến nghị là nên đặt access list theo chiều out, vì sao như thế phải học môn Vi Xư lý các bạn mới biết được.
- access-list 1 deny 172.16.3.10 0.0.0.0 câu lệnh này có tác dụng tương tự với access-list 1 deny host 172.16.3.10. Có nghĩa là khi ACL tác động đến một địa chỉ ip cụ thể thì thay vì gõ địa chỉ và Wildcard mask 0.0.0.0 thì bạn chỉ cần ghi là host.... Chỉ là một cách viết khác ngắn gọn hơn thôi
- access-list 1 permit 0.0.0.0 255.255.255.255 tương đương với access-list 1 permit any. Nghĩa là từ khoá any tương đương với toàn bộ các địa chỉ. (any = bất cứ địa chỉ nào).
Cũng chỉ là một cách viết ngắn gọn hơn thôi, khi làm nhiều quen với ACL rồi bạn sẽ chủ yếu dùng : host, any thay vì viết theo cách thông thường.

Con số từ 1 đến 99 nghĩa là bạn có thế có 99 ACL thuộc loại standard
-access- list 1.......
-access- list 99.......


-------------------------------------------
Happy study!

tại sao lại học vi xử lí mới biết?????nó có liên quan gì tới chiều out của router?mình cũng là dân điện tử đây nhưng mình không hiểu câu nói của bạn

ư`, mình cũng thắc mắc la` khi nào thì in khi nào thì out đó? làm sao phân biệt đây ???

khi làm access list, bạn phải đặt mình vào vị trí của router. Chỉ khi đặt mình vào vị trí của router thì mới xác định đúng chiều in/out

- in : những packet từ bên ngoài hướng vào mình (hướng vào router)
- out: những packet từ bên trong đi ra ngoài (đi ra khỏi router)

Giờ thì mình rõ rồi,tại chưa xem kĩ thôi:
IP:Standard ACL:1-99
EXtend ACL:100-199

Bạn BlackTSB hỏi là:


tại sao lại học vi xử lí mới biết?????nó có liên quan gì tới chiều out của router?mình cũng là dân điện tử đây nhưng mình không hiểu câu nói của bạn


Ở phần trên mình chỉ nói là Cisco khuyến nghị nên dùng ACL theo chiều OUT!!!!(Trong sách CCNA) Tại sao như thế thì tớ cũng chỉ mình cũng chỉ có thể giải thích một cách không rõ ràng lắm thế này:

Mọi người đều biết Router là một hệ Vi Xử Lý hoàn chỉnh có chip xử lý, các bộ đệm vào ra các cổng,... và các cổng giao tiếp khác. Nhiệm vụ của Router là đọc các thông tin cần thiết trong gói tin, căn cứ vào bảng định tuyến, ACL.. để chuyển đến một Interface thích hợp.

Router thực hiện điều đó bằng một số thuật toán về hàng đợi tối ưu liên quan rất nhiều đến các bài toán xác suất(...) với rất nhiều các tham số đầu vào.

Việc đặt các ACL theo chiều IN hay OUT liên quan rất nhiều đến tốc độ xử lý của cả hệ thống. Theo mình việc đặt ACL theo chiều IN sẽ làm tăng xác xuất tắc nghẽn tại chính interface đó hơn là so với đặt theo chiều OUT. Chính vì thế CISCO recommend là dung ACL theo chiều OUT.


Tuy nhiên việc đặt ACL theo chiều OUT không phải lúc nào cũng thực hiện được, Do đó việc đặt ACL theo chiều nào, tại Router nào trong mạng phải hết sức linh hoạt.



bạn Monkey viết thế này theo mình là không chính xác và cũng không rõ dàng.


- in : những packet từ bên ngoài hướng vào mình (hướng vào router)
- out: những packet từ bên trong đi ra ngoài (đi ra khỏi router)


Mình giải thích thế này:
- Khi đặt ACL theo chiều IN thì khi gói tin đến nó sẽ được kiểm tra xem có thỏa mãn điều kiện của ACL không, nếu được thì gói tin mới được đưa vào để định tuyến chuyển sang interface khác.
- Khi đặt ACL theo chiều OUT thì chỉ những gói tin đến từ một interface khác, qua quá trình định tuyến của Router rồi chuyển ra interface có ACL, mới bị ACL kiểm tra. Điều này khác với câu "Những packet từ bên trong đi ra ngoài" Vì ACL theo chiều OUT sẽ không kiểm tra những packet đi ra ngoài do chính Router tạo ra (ví dụ như khi ta đánh lệnh ping từ cửa sổ console, những gói tin ICMP đó sẽ không bị ACL kiểm tra).

--------------------------------------
Happy study!!!

:P Ngày xưa mình được các thầy ở SG*** dạy rất kỹ rằng:Việc đặt ACL ở đâu tùy thuộc vào mục đích của chúng ta.Ý mình muốn nói đến mục đích tiết kiệm BW hoặc Security,và chỉ được chọn 1 trong 2 thôi.
Không biết mình hiễu thế có đúng k?
Tuy nhiên đối với các perimeter router,việc đặt ACL sẽ tăng process của CPU-->delay.
Còn về ID của ACL,thì đơn giản phân ra nhiều đoạn chỉ để support nhiều protocol thôi(standard IP,Extended IP,Standard IPX,Extended IPX,..).
Mình nghĩ vấn đề là nhớ được các range này chứ 0 nhất thiết phải hiểu rõ ý nghĩa củaon số.
Mong được chỉ giáo!
Mến:lol:

thực ra việc dăth ACL ở IN hay OUT chỉ liên quan đến bandwith và tốc độ xử lí thôi chứ về tác dụng filter thì IN hay OUT đều giống nhau.

thực ra việc dăth ACL ở IN hay OUT chỉ liên quan đến bandwith và tốc độ xử lí thôi chứ về tác dụng filter thì IN hay OUT đều giống nhau.

Tại sao bạn BlackTSB lại cho rằng việc IN hay OUT chỉ liên quan đến bandwith, chứ kô liên quan đến việc Filter.

Giả sử rằng ta có 1 topology thế này
PC -----Switch-------(Ethernet) Router (Serial)

Giả sử ta muốn ngăn 1 service nào đó trên PC, và kô cho nó ra ngoài mà khi đặt ACL tại cổng Ethernet lại cho là OUT là SAI. Trong trường hợp này tại Ethernet chúng ta chỉ có thể đặt là IN thôi. Nhưng nếu bạn đặt ACL tại Serial là OUT thì CHÍNH XÁC.

Việc đặt IN hay OUT là rất quan trọng, các bạn nên chọn lựa kỹ càng, vì có thể các policy sẽ kô thể thực hiện nếu kô chọn đúng chiều của traffic.


THÂN

In hay out có lẽ cũng như nhau về tác dụng (khi đặt đúng cách).Cái quan trọng là đặt đúng hay ko.

theo mình access-list cần phải đặt đúng và làm sao để càng ít biểu thức so sánh càng tốt (filters), vì như vậy thì sẽ làm cho CPU làm việc ít hơn, router không bị rơi vào trường hợp bị tê liệt (giống PC của mình ý mà ...) .
Về ví dụ ở trên của it-email thì nếu đặt access-list là IN thì sẽ không tổng quát. Vì nếu topology phát triển rộng ra, thì có khả năng 1 lúc nào đó filter này sẽ sai vì có thể bob có thể đến server bằng 1 cổng khác trên router. Vậy nếu đặt IN thì ta phải đặt access list cho tất cả các ports (ngoại trừ port connect với server), trong khi đặt OUT thì ta chỉ cần 1 access-list duy nhất là đủ và tổng quát trong rất nhiều trường hợp.

happy man

Thực ra, thực tế làm việc, mình thấy thường bạn sẽ chon đặt accl chiều in, như vậy thường đễ tưởng tượng và hiểu hơn đặt theo chiều out, vì đặt chiều out, cái mà bạn quan tâm lại là cái phía sau cổng applied.
Tuy nhiên, nếu bạn nói Cisco khuyến cáo không dùng out, tại sao chiều default của acl lại là chiều out ???

Xin chào,

Làm ơn giúp tôi tại sao cái ACL này lại không hoạt động theo ý muốn.

[tftp server] ---- fa0/0 [R7] s0/0 ---- s0/0 [R8] e0/0 ---- [tftp client]

Tôi chỉ muốn cho tftp traffic qua serial link giữa R7 và R8.
Trước khi cho ACL vào int e0/0 thì có thể copy file từ TFTP server nhưng sau khi cho ACL vào int e0/0 thì lại không được nữa.

-----------
R7#show run
Building configuration...

Current configuration : 644 bytes
!
version 12.2
no parser cache
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R7
!
logging rate-limit console 10 except errors
!
!
!
ip subnet-zero
!
!
!
no ip dhcp-client network-discovery
call rsvp-sync
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 150.50.5.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 150.50.6.1 255.255.255.0
no fair-queue
!
router rip
network 150.50.0.0
!
ip classless
ip http server
!
!
!
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 5 15
!
no scheduler allocate
!
end

--------------

R8#show run
Building configuration...

Current configuration : 716 bytes
!
version 12.2
no parser cache
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R8
!
logging rate-limit console 10 except errors
!
!
!
memory-size iomem 10
ip subnet-zero
!
!
!
no ip dhcp-client network-discovery
call rsvp-sync
!
!
!
!
!
!
!
!
interface Ethernet0/0
ip address 150.50.7.1 255.255.255.0
ip access-group 100 in
half-duplex
!
interface Serial0/0
ip address 150.50.6.2 255.255.255.0
no fair-queue
!
router rip
network 150.50.0.0
!
ip classless
ip http server
!
access-list 100 permit udp any any eq tftp
!
!
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 5 15
!
no scheduler allocate
!
end

Em không hiểu ý anh! cho traffic đi qua thì anh cứ để mặc định đi, chặn làm gì! em có thấy anh dùng ACL để chặn cái gì đâu!

Mà lệnh :
"access-list 100 permit udp any any eq tftp "

hình như làm gì có eq tftp nhỉ?

Sau khi thêm dòng
Access-list 100 permit udp any any gt 1023

vào access-list 100 thì đươc. Hóa ra là traffic udp cũng dùng port > 1023.

Anh

Quá trình hoạt động của một TFTP client khi kết nối đến TFTP server như sau (các bạn chú ý đến source port và des port)

1. Host A sends a "RRQ" to host B with
source= A's TID, destination= 69.
2. Host B sends a "DATA" (with block number= 1) to host A with
source= B's TID, destination= A's TID.
3. Host A sends an "ACK" (with block number= 1) to host B with
source= A's TID, destination= B's TID.
...
(TID=Transfer IDentifier)

Ví dụ cụ thể:
1. Host A sends a "RRQ" to host B with
source= 3210, destination= 69.
2. Host B sends a "DATA" (with block number= 1) to host A with
source= 1145, destination= 3210.
3. Host A sends an "ACK" (with block number= 1) to host B with
source= 3210, destination= 1145.

Các bạn có thể xem thêm trong RFC1350 hoặc IEN133!

Vì vậy ACL của anhtt72 viết là hoàn toàn chính xác.

<config>#access-list 100 permit udp any any eq tftp
<config>#access-list 100 permit udp any any gt 1023
<config>#int e0
<config-if>ip access-group 100 in

to rose
Các ACL đều có implicit deny ở cuối cùng, nên ACL chỉ có một dòng lệnh permit như trên sẽ chặn tất cả những cái còn lại.
Thân!

Xin được trình bày ý của anh Thông như sau (không biết có dễ hiểu hơn không)

Giả vở:
....server = Host_A (Ở đây không giới hạn là bạn dùng dịch vụ gì)
....Client = Host_B (Tùy theo loại dịch vụ mà bạn dùng)

Để khởi tạo một phiên kết nối, cần có các thông tin như sau:
....Địa chỉ IP (cho cả nguồn và đích)
....Địa chỉ MAC (cho cả nguồn và đích)
....Số hiệu cổng (port number) = là ID cho phép phân biệt giữa các loại dịch vụ với nhau (cho cả nguồn và đích)
Về IP add và MAC add ta không bàn. Nhưng để làm ACL thì port number rất quan trọng. Vì ACL cho phép bạn filter cái packet dự trên ip add hoặc port number hoặc protocol hoặc application hoặc tất (với cả nguồn và đích) (tất nhiên là mới ex ACL)
Các dịch vụ khác nhau thì có port number khác nhau (ví dụ: HTTP = 80, FTP-data = 20, FTP = 21, TFTP = 69...) cái này gọi là service port
Các client muốn truy suất dịch vụ của server đó thì nó phải gửi một gói tin đến server trong đó có các trường sau:
.... source port (cái này gọi là client port, nó được sinh ngãu nhiên nhưng trong dải > 1023)
.... destination port (cái này dùng sevice port với TFTP thì dùng là 69 còn đặc biệt với FTP thì bạn dùng cả 20 và 21)
.... destination and source IP
vvv
Có nghĩa là nếu bạn muốn cho phép Client kết nối đến Server thì bạn phải cho phép gói tin khởi tạo có source port > 1023 đi qua.
Gói tin từ server trở về client thì ngược lại...
Câu lẹnh ACL khà là nhiều opption và nó có ý nghĩa hơi bị hay, bạn thử đọc lại sách xem...

Không biết đã đúng - đủ chưa, bạn nào có ỳ kiến !!!!!!!!!!!!!!!!!!!!

Thân 2!

Thank 1'hpsky!

humm, giống như kiểu bắt tay 3 bước trong UDP!mặc định Port=69 là dành cho TFTP!

Nhưng có phải là gt>1023 là do user defined ?!

Trong ICND ko nói rõ phần này lém!

Nhưng có phải là gt>1023 là do user defined ?!



Cái này emThuy nói rõ rồi, đọc lại xem.

humm, giống như kiểu bắt tay 3 bước trong UDP!mặc định Port=69 là dành cho TFTP!
Nhưng có phải là gt>1023 là do user defined ?!

Trong ICND ko nói rõ phần này lém!

Vậy bạn kiếm 4 cuốn mấy anh em học Academic học ấy ở đó nói, còn có rõ hay không thì... đọc đi hãy phán.



Nhưng có phải là gt>1023 là do user defined ?!

Client port có thể do các ứng dụng gọi ra (kiểu như mấy con virus ấy) nhưng với một ứng dụng thông thường thì nó là random
Bạn có biêt tại sao UDP được dùng cho các ứng dụng không đụng chạm đến độ tin cậy mà cần tốc độ không (TFTP chẳng hạn)????

Thân 2!

Mình thấy câu này được hỏi trong ******** rất nhiều, nhưng đáp án của nó không hợp lý:

Mình post lộn hình, bạn xem hình dưới rồi hãy xem hình trên
Theo mình chỉ cần dùng 3 dòng lệnh này thôi:
1/ (config)#Access-list 1 deny any
2/ (config)#line vty 0 4
3/ (config-line)#access-class 1 in

như vậy là đủ cấm telnet rồi, đâu cần dùng rắc rối như đáp án của TK ?

đúng rồi đấy, tôi cũng thấy nó bất hợp lý lém.

các bạn có thể giải thích hộ mình in & out o truong hop nay co nghia la gi ???
access-list 102 permit 192.168.2.0 0.0.0.255 eq 25
interface s0
ip access-group 102 in
access-list 102 permit 192.168.2.0 0.0.0.255 eq 25
interface s0
ip access-group 102 out
thankyou very much!!!!

in : tức là các traffice đi đến S0
out : Tức các traffice đi từ S0 ra ngoài !

tuc la chi cho phep dia chi 192.168.2.0 su dung smtp vao, ra qua S0 cua ban con cac service khac thi bi block het.

minh nghi la cac giao thuc SMTP ra vao tu dia chi 192.168.2.0 qua S0 la ok

hic đếch biết ông nào cấu hình như vậy thì ....
nói chung các ACL mà bạn nói hình như bạn mới chỉ đang thực hành trong phòng lab thì phải chứ trong thực tế cấu hình các mạng hầu hết các acl đều là extended.
---------------
interface s0
ip access-group 102 in
access-list 102 permit 192.168.2.0 0.0.0.255 eq 25
interface s0
ip access-group 102 out
------------------------
thứ nhất là sai cú pháp ( thiếu port nguồn )
thứ 2 là sai về cấu hình ( giả sử câu lệnh thứ nhất đúng )
mặc định trong câu lệnh ACL là luôn có câu lệnh deny all ở sau cùng. Nếu không chú ý điều này có thể gây hậu quả rất nghiêm trọng trong cấu hình ACL.
Như theo câu lệnh trên. Bạn chặn hết các data trừ port 25 là SNMP cả trong ra và ngoài vào. Nói chung là chẳng có cái gì là chạy được ở đây cả.

Minh co 1 de thi co 2 cau hoi nhu sau, cac ban vui long chi giup cau nao dung va vi sao nhu vay. Cam on

----------------

1) On your newly installed router, you apply the access list illustrated below to interface Ethernet 0 on a Cisco router. The interface í connected to the 192.168.1.8/29 LAN

access-list 123 deny tcp 192.168.166.18 0.0.0.7 eq 20 any
access-list 123 deny tcp 192.168.166.18 0.0.0.7 eq 21 any

How will the above access lists affect traffic ?

a) FTP traffic from 192.168.166.19 to any host will be denied.
b) All FTP traffic to network 192.168.166.18/29 from any host will be denied.
c) FTP traffic from 192.168.166.22 to any host will be denied.
d) All traffic exiting E0 will be denied.
e) FTP traffic will be allowed to exit E0 except FTP traffic.


Cau nay dap an la: d. Nhung minh khong hieu vi sao nhu vay ?
-------------
2/ You are a technician at ABC corp. Your assistant applied an IP access list to router ABC. You want to check the placement and direction of the access control list.
Which command should you use ?

a) Show ip interface
b) Show interface list
c) Show interface
d) Show access-list
e) Show ip access-list

Minh co 1 de thi co 2 cau hoi nhu sau, cac ban vui long chi giup cau nao dung va vi sao nhu vay. Cam on
----------------
1) On your newly installed router, you apply the access list illustrated below to interface Ethernet 0 on a Cisco router. The interface í connected to the 192.168.1.8/29 LAN

access-list 123 deny tcp 192.168.166.18 0.0.0.7 eq 20 any
access-list 123 deny tcp 192.168.166.18 0.0.0.7 eq 21 any

How will the above access lists affect traffic ?

a) FTP traffic from 192.168.166.19 to any host will be denied.
b) All FTP traffic to network 192.168.166.18/29 from any host will be denied.
c) FTP traffic from 192.168.166.22 to any host will be denied.
d) All traffic exiting E0 will be denied.
e) FTP traffic will be allowed to exit E0 except FTP traffic.

Cau nay dap an la: d. Nhung minh khong hieu vi sao nhu vay ?

Câu này rất dễ chọn câu trả lời: bạn chú ý 2 ACL trên đều ở chế độ deny, bạn lưu ý rằng ACL cho ta các lựa chọn để filter traffic, nếu ko thỏa mãn thì mặc định cuối cùng là deny any any.

Vì thế khi apply 2 ACL trên ở interface E0 thì kết quả cuối cùng vẫn là deny toàn bộ => nghĩa là all traffic exiting E0 will be denied (câu D).



2/ You are a technician at ABC corp. Your assistant applied an IP access list to router ABC. You want to check the placement and direction of the access control list.
Which command should you use ?

a) Show ip interface
b) Show interface list
c) Show interface
d) Show access-list
e) Show ip access-list

Câu trả lời là câu A

"a) Show ip interface" : cho bạn xem thông tin về interface trong đó cho ta biết có access-list nào được áp dụng trên interface ko, thông tin còn bao gồm hướng access-list (inbound/outbound)

"d) show access-list" "e) show ip access-list": cho bạn biết nội dung của ACL, nếu bạn có thiết lập log thì 2 lệnh trên còn hiển thị số lần kiểm tra ứng với mỗi statement trong ACL

"c) show interface" : cũng cho bạn biết thông tin về interface nhưng ko có thông tin về ACL

"b) show interface list" thì mình chưa dùng lần nào :D , nhưng đoán là giống câu c) thôi :o

Chúc bạn thành công

Cam on ban hvas01.

O cau 2 minh cuang nghi nhu ban, nhung dap an lai la: d) Show access-list. Vi vay minh nghi co the la dap an bi sai chang?

Câu A là đúng ..trong TKv96 mới nhất thì đáp án đúng cũng là " Show ip interface".