Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

anh em cho mình hỏi về Exten...ACL

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • anh em cho mình hỏi về Exten...ACL

    mình đã xây dựng một ACL Ex và add vào một cỗng interfice ra WAN , nay mình muốn thêm một chính sách mới ví dụ như mình muốn mở cổng 2048 cho bên ngoài truy cập vào mạng mình.
    vậy cho hỏi 2 câu?
    1-- nếu mình muốn thêm một chính sách vào ACL cũ có được không? câu lệnh như thế nào?
    2-- nếu không được thì chỉ có cách tạo ra một ACL mới và add vào interfice đó, nhưng mình add ACL mới cho interfice đó thì cái ACL cũ mất đi. vậy sao ? có cách nào add thêm chính sách cho interfice không?
    cảm ơn!
    HOẢ KỲ LÂN
    Director
    www.hoakylan.com

  • #2
    Originally posted by hoakylan View Post
    mình đã xây dựng một ACL Ex và add vào một cỗng interfice ra WAN , nay mình muốn thêm một chính sách mới ví dụ như mình muốn mở cổng 2048 cho bên ngoài truy cập vào mạng mình.
    vậy cho hỏi 2 câu?
    1-- nếu mình muốn thêm một chính sách vào ACL cũ có được không? câu lệnh như thế nào?
    2-- nếu không được thì chỉ có cách tạo ra một ACL mới và add vào interfice đó, nhưng mình add ACL mới cho interfice đó thì cái ACL cũ mất đi. vậy sao ? có cách nào add thêm chính sách cho interfice không?
    cảm ơn!
    hi hoakylan,
    để edit extended ACL, cách đơn giản nhất (apply cho number access-list và name access-list): show running-config -> copy access-list ra ngoài notepad -> edit access-list -> paste vào lại router
    ví dụ:
    !!cấu hình cũ
    config t
    access-list 100 permit ip 192.168.1.0 0.0.0.255 any
    !
    interface s0/0/0
    description "LeaseLine connection"
    ip access-group 100 out
    !
    end
    wr

    !!Edit lại access-list 100
    config t
    no access-list 100
    !
    interface s0/0/0
    no ip access-group 100 out
    !
    access-list 100 permit ip 192.168.1.0 0.0.0.255 any
    access-list 100 permit ip host 192.168.1.100 any
    !
    interface s0/0/0
    ip access-group 100 out
    !
    end
    wr

    Cách thứ 2 áp dụng cho name ACL: edit trực tiếp vào ACL
    ví dụ:
    !! cấu hình cũ
    config t
    ip access-list extended ACL_PERMIT_VLAN_A
    permit ip 192.168.1.0 0.0.0.255 any
    !
    interface s0/0/0
    ip access-group ACL_PERMIT_VLAN_A out
    !
    end
    wr

    !!edit lại ACL
    config t
    ip access-list extended ACL_PERMIT_VLAN_A
    5 deny ip host 192.168.1.100 any
    !
    !lúc này ext ACL_PERMIT_VLAN_A sẽ là
    !ip access-list extend ACL_PERMIT_VLAN_A
    ! 5 deny ip host 192.168.1.00 any
    ! 10 permit ip 192.168.1.0 0.0.0.255 any
    !
    end
    wr

    Comment


    • #3
      cho hỏi tại sao cu6 lệnh :#5 deny ip host 192.168.1.100 any
      thì thứ tự ưu tiên thực thi sẽ cao hơn các câu lệnh có 10,20.... trong khi đó ACL cũ thì đâu có câu lệnh :10 permit ip 192.168.1.0 0.0.0.255 any mà mình chỉ thấy là permit ip 192.168.1.0 0.0.0.255 any
      tại sao lại như vậy nhờ bạn giải thích cho mình rõ hơn nhe.
      1-- trường hợp ACL cũ có nhiều câu lệnh ví dụ 10 câu thì khi thêm vào chính sách mới các câu lệnh trước đó sẽ đánh số như thế nào ?
      cảm ơn bạn!
      HOẢ KỲ LÂN
      Director
      www.hoakylan.com

      Comment


      • #4
        Originally posted by hoakylan View Post
        cho hỏi tại sao cu6 lệnh :#5 deny ip host 192.168.1.100 any
        thì thứ tự ưu tiên thực thi sẽ cao hơn các câu lệnh có 10,20.... trong khi đó ACL cũ thì đâu có câu lệnh :10 permit ip 192.168.1.0 0.0.0.255 any mà mình chỉ thấy là permit ip 192.168.1.0 0.0.0.255 any
        tại sao lại như vậy nhờ bạn giải thích cho mình rõ hơn nhe.
        1-- trường hợp ACL cũ có nhiều câu lệnh ví dụ 10 câu thì khi thêm vào chính sách mới các câu lệnh trước đó sẽ đánh số như thế nào ?
        cảm ơn bạn!
        Hi Lân, các số 5, 10, 20 là số sequence để đánh số thứ tự ưu tiên trước sau thôi. Số càng nhỏ sẽ đc ưu tiên thực hiện trước.

        Thường thì đánh cách nhau 10 số 10 20 30 chẳng hạn để sau này có thể chèn thêm ACL vào.

        trong khi đó ACL cũ thì đâu có câu lệnh :10 permit ip 192.168.1.0 0.0.0.255 any mà mình chỉ thấy là permit ip 192.168.1.0 0.0.0.255 any
        Default chỉ số sequence sẽ là 10 nên ko cần đánh.
        Đặng Hoàng Khánh
        Email: danghoangkhanh@vnpro.org
        ---------------------------
        VnPro - Cisco Authorised Training
        Discuss about Networking, especially Cisco technology: http://vnpro.org
        Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

        Comment


        • #5
          Originally posted by hoakylan View Post
          cho hỏi tại sao cu6 lệnh :#5 deny ip host 192.168.1.100 any
          thì thứ tự ưu tiên thực thi sẽ cao hơn các câu lệnh có 10,20.... trong khi đó ACL cũ thì đâu có câu lệnh :10 permit ip 192.168.1.0 0.0.0.255 any mà mình chỉ thấy là permit ip 192.168.1.0 0.0.0.255 any
          tại sao lại như vậy nhờ bạn giải thích cho mình rõ hơn nhe.
          1-- trường hợp ACL cũ có nhiều câu lệnh ví dụ 10 câu thì khi thêm vào chính sách mới các câu lệnh trước đó sẽ đánh số như thế nào ?
          cảm ơn bạn!
          Số sequence đầu tiên của ACL là 10, và mặc định tăng lên 10 cho các câu lệnh tiếp theo. Số sequence thấp sẽ được ưu tiên "xử lý" trước.
          Khi thêm vào 1 ACL cũ 1 entry thì mặc định entry này sẽ nằm cuối cùng của ACL đó

          Comment


          • #6
            uh mình hiểu rồi cảm ơn bạn binhhd!
            cho mình hỏi thêm câu nữa nhe!
            công try mình có mua một CSDL của một trường đại học, nó mở web proxy port 2048 và cấp quyền user đăng nhập vào mới lấy data được.
            mình test thử bằng đường ADSL ko qua firewall-----router thì ok.
            nhưng mình truy cập bằng Leased line thì ko được mình chắc là do ACL trên Router tại ngõ IN vào mạng mình WAN ---ROUTER---Firewall---LAN . thì ko truy cập được. nên tại Router mình mở port 2048 cho nó vào mà vẫn ko được. các bạn hướng dẫn mình nhe.
            HOẢ KỲ LÂN
            Director
            www.hoakylan.com

            Comment


            • #7
              Originally posted by hoakylan View Post
              uh mình hiểu rồi cảm ơn bạn binhhd!
              cho mình hỏi thêm câu nữa nhe!
              công try mình có mua một CSDL của một trường đại học, nó mở web proxy port 2048 và cấp quyền user đăng nhập vào mới lấy data được.
              mình test thử bằng đường ADSL ko qua firewall-----router thì ok.
              nhưng mình truy cập bằng Leased line thì ko được mình chắc là do ACL trên Router tại ngõ IN vào mạng mình WAN ---ROUTER---Firewall---LAN . thì ko truy cập được. nên tại Router mình mở port 2048 cho nó vào mà vẫn ko được. các bạn hướng dẫn mình nhe.
              với mô hình của bạn, để check nguyên nhân tại sao bạn đi theo các bước sau nhé:
              1. Đảm bảo định tuyến ok
              2. Nếu bạn dùng firewall chuyên dụng (ASA, CheckPoint, ...) thì mở port 2048 cho ứng dụng chiều từ outside->inside, lúc này mặc định traffic trả về sẽ được đi qua router.
              3. Nếu bạn dùng firewall là Access-List thì chú ý, ACL chỉ check theo 1 chiều thôi, do đó nếu bạn apply ACL chiều INOUT lúc đó nếu bạn "permit" chiều IN thì bạn cũng phải "permit" chiều OUT cho traffic trả về tương ứng

              note: Nếu có thể, bạn post cấu hình firewall lên đây nhé!

              Comment


              • #8
                tại firewall mình đã mở port 2048 cả insede và outside mà vẫn ko đi được. botay
                HOẢ KỲ LÂN
                Director
                www.hoakylan.com

                Comment

                Working...
                X