• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

access list!

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • access list!

    Mọi người xem giùm nhé!
    Example8-1.Standard Access list stopping Bob from reaching server:
    int e0
    ip add 172.16.1.1 255.255.255.0
    ip access-group out
    access-list 1 deny 172.16.3.10 0.0.0.0
    access-list 1 permit 0.0.0.0 255.255.255.255
    --------
    Standard IP access lists use anumber between 1 and 99,inclusive----từ 1 đến 99 nghĩa là sao,những con số này có ý nghĩa gì?

    Example 8-2.Standard access list Stopping Bob from reaching server 1:revised.
    int e0
    ip add 172.16.1.1 255.255.255.0
    ip access-group 1
    access-list 1 deny host 172.16.3.10
    access-list 1permit any

    The commands in Exam8-1 are changer based on three factors.First,"out" is thedefault direction for access list,so the router would omit the "out" keywork of the ip access-group command.Secondthe use of the wildcard mask of 0.0.0.0is the old way to configure an access list to match a pecific host's ip address.The new style is to code the "host" keywork in frond of the ip add.When you type a wildcard of 0.0.0.0 ,the router replace the configuration with the newer "host" keywork.Finally when you use an ip add and a wildcard mask of 255.255.255.255 ,the keywork "any" is used to replaceboth paramater ,"any" simply means that any ip add is matched.
    Giải thích đoạn này "The commands in Exam 8-1...matched" giùm mình.
    Thanhs!

  • #2
    Đoạn này có gì mà không hiểu đâu:
    - out: Cisco khuyến nghị là nên đặt access list theo chiều out, vì sao như thế phải học môn Vi Xư lý các bạn mới biết được.
    - access-list 1 deny 172.16.3.10 0.0.0.0 câu lệnh này có tác dụng tương tự với access-list 1 deny host 172.16.3.10. Có nghĩa là khi ACL tác động đến một địa chỉ ip cụ thể thì thay vì gõ địa chỉ và Wildcard mask 0.0.0.0 thì bạn chỉ cần ghi là host.... Chỉ là một cách viết khác ngắn gọn hơn thôi
    - access-list 1 permit 0.0.0.0 255.255.255.255 tương đương với access-list 1 permit any. Nghĩa là từ khoá any tương đương với toàn bộ các địa chỉ. (any = bất cứ địa chỉ nào).
    Cũng chỉ là một cách viết ngắn gọn hơn thôi, khi làm nhiều quen với ACL rồi bạn sẽ chủ yếu dùng : host, any thay vì viết theo cách thông thường.

    Con số từ 1 đến 99 nghĩa là bạn có thế có 99 ACL thuộc loại standard
    -access- list 1.......
    -access- list 99.......


    -------------------------------------------
    Happy study!
    1'hpSky!

    Comment


    • #3
      tại sao lại học vi xử lí mới biết?????nó có liên quan gì tới chiều out của router?mình cũng là dân điện tử đây nhưng mình không hiểu câu nói của bạn

      Comment


      • #4
        ư`, mình cũng thắc mắc la` khi nào thì in khi nào thì out đó? làm sao phân biệt đây ???

        Comment


        • #5
          khi làm access list, bạn phải đặt mình vào vị trí của router. Chỉ khi đặt mình vào vị trí của router thì mới xác định đúng chiều in/out

          - in : những packet từ bên ngoài hướng vào mình (hướng vào router)
          - out: những packet từ bên trong đi ra ngoài (đi ra khỏi router)

          Comment


          • #6
            Giờ thì mình rõ rồi,tại chưa xem kĩ thôi:
            IP:Standard ACL:1-99
            EXtend ACL:100-199

            Comment


            • #7
              Re: access list!

              Bạn BlackTSB hỏi là:
              tại sao lại học vi xử lí mới biết?????nó có liên quan gì tới chiều out của router?mình cũng là dân điện tử đây nhưng mình không hiểu câu nói của bạn
              Ở phần trên mình chỉ nói là Cisco khuyến nghị nên dùng ACL theo chiều OUT!!!!(Trong sách CCNA) Tại sao như thế thì tớ cũng chỉ mình cũng chỉ có thể giải thích một cách không rõ ràng lắm thế này:

              Mọi người đều biết Router là một hệ Vi Xử Lý hoàn chỉnh có chip xử lý, các bộ đệm vào ra các cổng,... và các cổng giao tiếp khác. Nhiệm vụ của Router là đọc các thông tin cần thiết trong gói tin, căn cứ vào bảng định tuyến, ACL.. để chuyển đến một Interface thích hợp.

              Router thực hiện điều đó bằng một số thuật toán về hàng đợi tối ưu liên quan rất nhiều đến các bài toán xác suất(...) với rất nhiều các tham số đầu vào.

              Việc đặt các ACL theo chiều IN hay OUT liên quan rất nhiều đến tốc độ xử lý của cả hệ thống. Theo mình việc đặt ACL theo chiều IN sẽ làm tăng xác xuất tắc nghẽn tại chính interface đó hơn là so với đặt theo chiều OUT. Chính vì thế CISCO recommend là dung ACL theo chiều OUT.


              Tuy nhiên việc đặt ACL theo chiều OUT không phải lúc nào cũng thực hiện được, Do đó việc đặt ACL theo chiều nào, tại Router nào trong mạng phải hết sức linh hoạt.



              bạn Monkey viết thế này theo mình là không chính xác và cũng không rõ dàng.
              - in : những packet từ bên ngoài hướng vào mình (hướng vào router)
              - out: những packet từ bên trong đi ra ngoài (đi ra khỏi router)
              Mình giải thích thế này:
              - Khi đặt ACL theo chiều IN thì khi gói tin đến nó sẽ được kiểm tra xem có thỏa mãn điều kiện của ACL không, nếu được thì gói tin mới được đưa vào để định tuyến chuyển sang interface khác.
              - Khi đặt ACL theo chiều OUT thì chỉ những gói tin đến từ một interface khác, qua quá trình định tuyến của Router rồi chuyển ra interface có ACL, mới bị ACL kiểm tra. Điều này khác với câu "Những packet từ bên trong đi ra ngoài" Vì ACL theo chiều OUT sẽ không kiểm tra những packet đi ra ngoài do chính Router tạo ra (ví dụ như khi ta đánh lệnh ping từ cửa sổ console, những gói tin ICMP đó sẽ không bị ACL kiểm tra).

              --------------------------------------
              Happy study!!!
              1'hpSky!

              Comment


              • #8
                :P Ngày xưa mình được các thầy ở SG*** dạy rất kỹ rằng:Việc đặt ACL ở đâu tùy thuộc vào mục đích của chúng ta.Ý mình muốn nói đến mục đích tiết kiệm BW hoặc Security,và chỉ được chọn 1 trong 2 thôi.
                Không biết mình hiễu thế có đúng k?
                Tuy nhiên đối với các perimeter router,việc đặt ACL sẽ tăng process của CPU-->delay.
                Còn về ID của ACL,thì đơn giản phân ra nhiều đoạn chỉ để support nhiều protocol thôi(standard IP,Extended IP,Standard IPX,Extended IPX,..).
                Mình nghĩ vấn đề là nhớ được các range này chứ 0 nhất thiết phải hiểu rõ ý nghĩa củaon số.
                Mong được chỉ giáo!
                Mến:lol:
                Vietnamese Professionals (VnPro)
                Tel: +84 8 5124257 - 5125314
                Fax: +84 8 5124314
                149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
                Tp.Ho Chi Minh
                http://www.chuyenviet.com

                VnPro - The way to get knowledge

                Comment


                • #9
                  thực ra việc dăth ACL ở IN hay OUT chỉ liên quan đến bandwith và tốc độ xử lí thôi chứ về tác dụng filter thì IN hay OUT đều giống nhau.

                  Comment


                  • #10
                    Originally posted by BlackTSB
                    thực ra việc dăth ACL ở IN hay OUT chỉ liên quan đến bandwith và tốc độ xử lí thôi chứ về tác dụng filter thì IN hay OUT đều giống nhau.
                    Tại sao bạn BlackTSB lại cho rằng việc IN hay OUT chỉ liên quan đến bandwith, chứ kô liên quan đến việc Filter.

                    Giả sử rằng ta có 1 topology thế này
                    PC -----Switch-------(Ethernet) Router (Serial)

                    Giả sử ta muốn ngăn 1 service nào đó trên PC, và kô cho nó ra ngoài mà khi đặt ACL tại cổng Ethernet lại cho là OUT là SAI. Trong trường hợp này tại Ethernet chúng ta chỉ có thể đặt là IN thôi. Nhưng nếu bạn đặt ACL tại Serial là OUT thì CHÍNH XÁC.

                    Việc đặt IN hay OUT là rất quan trọng, các bạn nên chọn lựa kỹ càng, vì có thể các policy sẽ kô thể thực hiện nếu kô chọn đúng chiều của traffic.


                    THÂN
                    Vnpro - The way to get knowledge
                    Mikami - UMass
                    E-mail : mikami@vnpro.org

                    Comment


                    • #11
                      In hay out có lẽ cũng như nhau về tác dụng (khi đặt đúng cách).Cái quan trọng là đặt đúng hay ko.

                      Comment


                      • #12
                        theo mình access-list cần phải đặt đúng và làm sao để càng ít biểu thức so sánh càng tốt (filters), vì như vậy thì sẽ làm cho CPU làm việc ít hơn, router không bị rơi vào trường hợp bị tê liệt (giống PC của mình ý mà ...) .
                        Về ví dụ ở trên của it-email thì nếu đặt access-list là IN thì sẽ không tổng quát. Vì nếu topology phát triển rộng ra, thì có khả năng 1 lúc nào đó filter này sẽ sai vì có thể bob có thể đến server bằng 1 cổng khác trên router. Vậy nếu đặt IN thì ta phải đặt access list cho tất cả các ports (ngoại trừ port connect với server), trong khi đặt OUT thì ta chỉ cần 1 access-list duy nhất là đủ và tổng quát trong rất nhiều trường hợp.

                        happy man
                        http://www.timphanmem.com

                        .

                        Comment


                        • #13
                          Thực ra, thực tế làm việc, mình thấy thường bạn sẽ chon đặt accl chiều in, như vậy thường đễ tưởng tượng và hiểu hơn đặt theo chiều out, vì đặt chiều out, cái mà bạn quan tâm lại là cái phía sau cổng applied.
                          Tuy nhiên, nếu bạn nói Cisco khuyến cáo không dùng out, tại sao chiều default của acl lại là chiều out ???

                          Comment


                          • #14
                            ACL - Help!

                            Xin chào,

                            Làm ơn giúp tôi tại sao cái ACL này lại không hoạt động theo ý muốn.

                            [tftp server] ---- fa0/0 [R7] s0/0 ---- s0/0 [R8] e0/0 ---- [tftp client]

                            Tôi chỉ muốn cho tftp traffic qua serial link giữa R7 và R8.
                            Trước khi cho ACL vào int e0/0 thì có thể copy file từ TFTP server nhưng sau khi cho ACL vào int e0/0 thì lại không được nữa.

                            -----------
                            R7#show run
                            Building configuration...

                            Current configuration : 644 bytes
                            !
                            version 12.2
                            no parser cache
                            no service single-slot-reload-enable
                            service timestamps debug uptime
                            service timestamps log uptime
                            no service password-encryption
                            !
                            hostname R7
                            !
                            logging rate-limit console 10 except errors
                            !
                            !
                            !
                            ip subnet-zero
                            !
                            !
                            !
                            no ip dhcp-client network-discovery
                            call rsvp-sync
                            !
                            !
                            !
                            !
                            !
                            !
                            !
                            !
                            interface FastEthernet0/0
                            ip address 150.50.5.1 255.255.255.0
                            duplex auto
                            speed auto
                            !
                            interface Serial0/0
                            ip address 150.50.6.1 255.255.255.0
                            no fair-queue
                            !
                            router rip
                            network 150.50.0.0
                            !
                            ip classless
                            ip http server
                            !
                            !
                            !
                            !
                            dial-peer cor custom
                            !
                            !
                            !
                            !
                            line con 0
                            line aux 0
                            line vty 5 15
                            !
                            no scheduler allocate
                            !
                            end

                            --------------

                            R8#show run
                            Building configuration...

                            Current configuration : 716 bytes
                            !
                            version 12.2
                            no parser cache
                            no service single-slot-reload-enable
                            service timestamps debug uptime
                            service timestamps log uptime
                            no service password-encryption
                            !
                            hostname R8
                            !
                            logging rate-limit console 10 except errors
                            !
                            !
                            !
                            memory-size iomem 10
                            ip subnet-zero
                            !
                            !
                            !
                            no ip dhcp-client network-discovery
                            call rsvp-sync
                            !
                            !
                            !
                            !
                            !
                            !
                            !
                            !
                            interface Ethernet0/0
                            ip address 150.50.7.1 255.255.255.0
                            ip access-group 100 in
                            half-duplex
                            !
                            interface Serial0/0
                            ip address 150.50.6.2 255.255.255.0
                            no fair-queue
                            !
                            router rip
                            network 150.50.0.0
                            !
                            ip classless
                            ip http server
                            !
                            access-list 100 permit udp any any eq tftp
                            !
                            !
                            !
                            dial-peer cor custom
                            !
                            !
                            !
                            !
                            line con 0
                            line aux 0
                            line vty 5 15
                            !
                            no scheduler allocate
                            !
                            end

                            Comment


                            • #15
                              Em không hiểu ý anh! cho traffic đi qua thì anh cứ để mặc định đi, chặn làm gì! em có thấy anh dùng ACL để chặn cái gì đâu!

                              Mà lệnh :
                              "access-list 100 permit udp any any eq tftp "

                              hình như làm gì có eq tftp nhỉ?
                              RK
                              CCxx 2004
                              Goal: MCXX2008
                              :106:

                              Comment

                              Working...
                              X