Announcement

**trainingit** · 26-11-2007, 10:45 PM

Originally posted by chicisco View Post

+em tạo 2 acl 100 & 101
em xét
ip access-group 100 out
ip access-group 101 out
thì dòng đầu tự động chuyển thành in là sao vậy các anh?

+cho em hỏi thêm, em đang bị wuýnh là ko bít đặt in|out ntn?
vd: LAN1-----f0/0-R1-s0/0-------WAN---------s0/0-R2-f0/0-----LAN2

tạo 1 acl deny|permit lan1 truy xuất LAN2
tại R1 em ko biết là đặt chiều in tại f0/0 hay out tại s0/0? và tại sao ko đặt out tại f0/0?
thanks

ACL có 2 loại chính là

cơ bản : chặn theo IP nguồn (source IP)

mở rộng: chặn theo IP nguồn, IP đích, giao thức và port

quy tắc chung là:

ACL cơ bản đặt gần đích mà bạn muốn thực hiện ACL (vì acl thực hiện theo source IP)

ACL mở rộng đặt gần phía mà gói dữ liệu được gửi đi (vì có thể chặn theo destination IP)

bạn phải đứng ở trên Router nơi mà bạn muốn thực hiện ACL để biết được chiều của ACL là in hay out.

:X:X:106::106:

**wlansecu** · 27-11-2007, 04:55 PM

Originally posted by chicisco View Post

+em tạo 2 acl 100 & 101
em xét
ip access-group 100 out
ip access-group 101 out
thì dòng đầu tự động chuyển thành in là sao vậy các anh?

+cho em hỏi thêm, em đang bị wuýnh là ko bít đặt in|out ntn?
vd: LAN1-----f0/0-R1-s0/0-------WAN---------s0/0-R2-f0/0-----LAN2

tạo 1 acl deny|permit lan1 truy xuất LAN2
tại R1 em ko biết là đặt chiều in tại f0/0 hay out tại s0/0? và tại sao ko đặt out tại f0/0?
thanks

Theo kết nối bạn vẽ thì:
Gói tin từ Lan 1
Vào f0/0 R1
ra s0/0 R1
ra WAN
rồi vào s0/0 R2
ra f0/0 R2
vào LAN 2

giờ thì bạn biết tại sao lại chặn chiều IN (vào) trên cổng vào, và Out (ra) trên cổng ra rồi chứ.

Còn việc chặn trên cổng nào: cổng của R 1 hay cổng của R2
thì còn phụ thuộc nhiều yếu tố.
Các yếu tố điển hình các tài liệu rất hay nói.
Tuy nhiên bạn cũng xem xét một điều:
Nếu chặn tại Router cuối cùng, thì gói tin phải đi qua cả đoạn mạng rồi mới bị loại bỏ. --> Tốn băng thông, mất công xử lý.
==> Tại sao chúng ta o chặn luôn trên Router đầu tiên.

**luancb** · 04-01-2008, 10:37 AM

Lưu ý, mỗi int chỉ 1 ACL mà thôi. Cần thận In và Out, dễ nhầm lẫn

**trainingit** · 04-01-2008, 11:46 AM

Originally posted by luancb View Post

Lưu ý, mỗi int chỉ 1 ACL mà thôi. Cần thận In và Out, dễ nhầm lẫn

mỗi int chỉ 1 ACL ???, cái này bạn xem lại đi nhé.

ACL chỉ có 2 chiều in và out

trên mỗi int chỉ nên đặt ACL theo một chiều in hoặc out

trên một int có thể có nhiều hơn 1 ACL :D, không biết là bao nhiêu :D

:X:X:106::106:

**them huyen** · 04-01-2008, 12:10 PM

Hinh nhu tong cong la hai: mot ACL cho moi chieu tren mot interface (one ACL per direction for each interface). Tren Firewall doi luc phai cai dat ACL tren ca hai chieu (hinh nhu la nhu vay do??)

**tranmyphuc** · 04-01-2008, 01:03 PM

trên mỗi int chỉ nên đặt ACL theo một chiều in hoặc out

trên một int có thể có nhiều hơn 1 ACL , không biết là bao nhiêu

Nếu kết hợp 2 dữ kiện này thì thường theo như mình biết thì có 6 (IP, IPX, AppleTalk). Vì mỗi giao thức lớp 3 sẽ có 2 chiều trên 1 Interface
Ví dụ : IP thì ta có thể dùng 2 acls trên 1 interface , 1 cái chiều in và 1 cái chiều out
[mình xét theo điều kiện là nên dùng 1 ACLS cho 1 chiều trên 1 interface như ở trên nha]

Hinh nhu tong cong la hai: mot ACL cho moi chieu tren mot interface (one ACL per direction for each interface). Tren Firewall doi luc phai cai dat ACL tren ca hai chieu (hinh nhu la nhu vay do??)

Việc 1 ACLS bạn có thể apply 2 chiều vào cùng 1 Interface ,đều này sẽ có các nhược điểm sau :
1) Router xử lí nhiều.
2)Nếu dùng nó cho extended Access-list thì không sao nhưng nếu dùng cho standard thì sẽ có sự sai lầm không cần thiết lắm.

p/m : Bạn thử apply cùng lúc 2 chiều của cùng 1 ACL vào cùng 1 interface , như mô hình dưới xem sẽ thấy có vấn đề :

PC1----VLAN10---------|--------------|

PC5----VLAN20---------|....L2 Switch...|=====VLAN TRUNK=====(Internet Router)------cùng nhau nắm tay ra Internet và dạo chơi công viên

PC10---VLAN30---------|--------------|

VLAN10: 10.0.1.x/24, PC default gateway: 10.0.1.1
VLAN20: 10.0.2.x/24 ----> VLAN cho khu vực hành chánh, PC default gateway: 10.0.2.1
VLAN30: 10.0.3.x/24, PC default gateway: 10.0.3.1

Internet Router Config:

interface fast 0/0.1
encap dot1q 10
ip address 10.0.1.1 255.255.255.0
ip access-group 10 out

interface fast 0/0.2
encap dot1q 20
ip address 10.0.2.1 255.255.255.0

interface fast 0/0.3
encap dot1q 30
ip address 10.0.3.1 255.255.255.0
ip access-group 30 out

ip access-list 10
deny 10.0.3.0 0.0.0.255
permit any

ip access-list 30
deny 10.0.1.0 0.0.0.255
permit any

Sử dụng tài liệu của member :Trần Nhân Hòa

Chúc bạn vui!!!

**them huyen** · 04-01-2008, 04:18 PM

Dung la 1 cao thu vo lam, vi khong xu dung toi ipx va apple talk nen khong the nho rang bon nay van ton tai. Nhu vay phai noi lai la: 1 ACL per direction for each protocol in each interface.
Thong thuong thi rat it khi thay ca 2 ACL (in & out) tren 1 interface, nhung tui da gap no trong 1 vai firewall.

Announcement

giúp em! Access list

giúp em! Access list

Comment

Comment

Comment

Comment

Comment

Comment

Comment