access list!

[it_email]

Mọi người xem giùm nhé!
Example8-1.Standard Access list stopping Bob from reaching server:
int e0
ip add 172.16.1.1 255.255.255.0
ip access-group out
access-list 1 deny 172.16.3.10 0.0.0.0
access-list 1 permit 0.0.0.0 255.255.255.255
--------
Standard IP access lists use anumber between 1 and 99,inclusive----từ 1 đến 99 nghĩa là sao,những con số này có ý nghĩa gì?

Example 8-2.Standard access list Stopping Bob from reaching server 1:revised.
int e0
ip add 172.16.1.1 255.255.255.0
ip access-group 1
access-list 1 deny host 172.16.3.10
access-list 1permit any

The commands in Exam8-1 are changer based on three factors.First,"out" is thedefault direction for access list,so the router would omit the "out" keywork of the ip access-group command.Secondthe use of the wildcard mask of 0.0.0.0is the old way to configure an access list to match a pecific host's ip address.The new style is to code the "host" keywork in frond of the ip add.When you type a wildcard of 0.0.0.0 ,the router replace the configuration with the newer "host" keywork.Finally when you use an ip add and a wildcard mask of 255.255.255.255 ,the keywork "any" is used to replaceboth paramater ,"any" simply means that any ip add is matched.
Giải thích đoạn này "The commands in Exam 8-1...matched" giùm mình.
Thanhs!

[1'hpSky]

Đoạn này có gì mà không hiểu đâu:
- out: Cisco khuyến nghị là nên đặt access list theo chiều out, vì sao như thế phải học môn Vi Xư lý các bạn mới biết được.
- access-list 1 deny 172.16.3.10 0.0.0.0 câu lệnh này có tác dụng tương tự với access-list 1 deny host 172.16.3.10. Có nghĩa là khi ACL tác động đến một địa chỉ ip cụ thể thì thay vì gõ địa chỉ và Wildcard mask 0.0.0.0 thì bạn chỉ cần ghi là host.... Chỉ là một cách viết khác ngắn gọn hơn thôi
- access-list 1 permit 0.0.0.0 255.255.255.255 tương đương với access-list 1 permit any. Nghĩa là từ khoá any tương đương với toàn bộ các địa chỉ. (any = bất cứ địa chỉ nào).
Cũng chỉ là một cách viết ngắn gọn hơn thôi, khi làm nhiều quen với ACL rồi bạn sẽ chủ yếu dùng : host, any thay vì viết theo cách thông thường.

Con số từ 1 đến 99 nghĩa là bạn có thế có 99 ACL thuộc loại standard
-access- list 1.......
-access- list 99.......


-------------------------------------------
Happy study!

[BlackTSB]

tại sao lại học vi xử lí mới biết?????nó có liên quan gì tới chiều out của router?mình cũng là dân điện tử đây nhưng mình không hiểu câu nói của bạn

[phoenix]

ư`, mình cũng thắc mắc la` khi nào thì in khi nào thì out đó? làm sao phân biệt đây ???

[monkey]

khi làm access list, bạn phải đặt mình vào vị trí của router. Chỉ khi đặt mình vào vị trí của router thì mới xác định đúng chiều in/out

- in : những packet từ bên ngoài hướng vào mình (hướng vào router)
- out: những packet từ bên trong đi ra ngoài (đi ra khỏi router)

[it_email]

Giờ thì mình rõ rồi,tại chưa xem kĩ thôi:
IP:Standard ACL:1-99
EXtend ACL:100-199

[1'hpSky]

Bạn BlackTSB hỏi là:

tại sao lại học vi xử lí mới biết?????nó có liên quan gì tới chiều out của router?mình cũng là dân điện tử đây nhưng mình không hiểu câu nói của bạn

Ở phần trên mình chỉ nói là Cisco khuyến nghị nên dùng ACL theo chiều OUT!!!!(Trong sách CCNA) Tại sao như thế thì tớ cũng chỉ mình cũng chỉ có thể giải thích một cách không rõ ràng lắm thế này:

Mọi người đều biết Router là một hệ Vi Xử Lý hoàn chỉnh có chip xử lý, các bộ đệm vào ra các cổng,... và các cổng giao tiếp khác. Nhiệm vụ của Router là đọc các thông tin cần thiết trong gói tin, căn cứ vào bảng định tuyến, ACL.. để chuyển đến một Interface thích hợp.

Router thực hiện điều đó bằng một số thuật toán về hàng đợi tối ưu liên quan rất nhiều đến các bài toán xác suất(...) với rất nhiều các tham số đầu vào.

Việc đặt các ACL theo chiều IN hay OUT liên quan rất nhiều đến tốc độ xử lý của cả hệ thống. Theo mình việc đặt ACL theo chiều IN sẽ làm tăng xác xuất tắc nghẽn tại chính interface đó hơn là so với đặt theo chiều OUT. Chính vì thế CISCO recommend là dung ACL theo chiều OUT.


Tuy nhiên việc đặt ACL theo chiều OUT không phải lúc nào cũng thực hiện được, Do đó việc đặt ACL theo chiều nào, tại Router nào trong mạng phải hết sức linh hoạt.



bạn Monkey viết thế này theo mình là không chính xác và cũng không rõ dàng.

- in : những packet từ bên ngoài hướng vào mình (hướng vào router)
- out: những packet từ bên trong đi ra ngoài (đi ra khỏi router)

Mình giải thích thế này:
- Khi đặt ACL theo chiều IN thì khi gói tin đến nó sẽ được kiểm tra xem có thỏa mãn điều kiện của ACL không, nếu được thì gói tin mới được đưa vào để định tuyến chuyển sang interface khác.
- Khi đặt ACL theo chiều OUT thì chỉ những gói tin đến từ một interface khác, qua quá trình định tuyến của Router rồi chuyển ra interface có ACL, mới bị ACL kiểm tra. Điều này khác với câu "Những packet từ bên trong đi ra ngoài" Vì ACL theo chiều OUT sẽ không kiểm tra những packet đi ra ngoài do chính Router tạo ra (ví dụ như khi ta đánh lệnh ping từ cửa sổ console, những gói tin ICMP đó sẽ không bị ACL kiểm tra).

--------------------------------------
Happy study!!!

[cvo15303]

:P Ngày xưa mình được các thầy ở SG*** dạy rất kỹ rằng:Việc đặt ACL ở đâu tùy thuộc vào mục đích của chúng ta.Ý mình muốn nói đến mục đích tiết kiệm BW hoặc Security,và chỉ được chọn 1 trong 2 thôi.
Không biết mình hiễu thế có đúng k?
Tuy nhiên đối với các perimeter router,việc đặt ACL sẽ tăng process của CPU-->delay.
Còn về ID của ACL,thì đơn giản phân ra nhiều đoạn chỉ để support nhiều protocol thôi(standard IP,Extended IP,Standard IPX,Extended IPX,..).
Mình nghĩ vấn đề là nhớ được các range này chứ 0 nhất thiết phải hiểu rõ ý nghĩa củaon số.
Mong được chỉ giáo!
Mến:lol:

[BlackTSB]

thực ra việc dăth ACL ở IN hay OUT chỉ liên quan đến bandwith và tốc độ xử lí thôi chứ về tác dụng filter thì IN hay OUT đều giống nhau.

[Mikami]

thực ra việc dăth ACL ở IN hay OUT chỉ liên quan đến bandwith và tốc độ xử lí thôi chứ về tác dụng filter thì IN hay OUT đều giống nhau.

Tại sao bạn BlackTSB lại cho rằng việc IN hay OUT chỉ liên quan đến bandwith, chứ kô liên quan đến việc Filter.

Giả sử rằng ta có 1 topology thế này
PC -----Switch-------(Ethernet) Router (Serial)

Giả sử ta muốn ngăn 1 service nào đó trên PC, và kô cho nó ra ngoài mà khi đặt ACL tại cổng Ethernet lại cho là OUT là SAI. Trong trường hợp này tại Ethernet chúng ta chỉ có thể đặt là IN thôi. Nhưng nếu bạn đặt ACL tại Serial là OUT thì CHÍNH XÁC.

Việc đặt IN hay OUT là rất quan trọng, các bạn nên chọn lựa kỹ càng, vì có thể các policy sẽ kô thể thực hiện nếu kô chọn đúng chiều của traffic.


THÂN