Announcement

**mmx** · 28-05-2004, 08:29 AM

Originally posted by mmx

Originally posted by tuaninbox

Bạn hãy thử access list sau
access-list 101 deny ip any 172.168.1.1 0.0.0.254

Thân mến,

Đúng vậy, câu này dễ hà. Vấn đề của bạn là tính wildcard mark thôi, cấm lẻ thì chỉ cần phải so sánh bit cuối cùng, do đó WM đặt là: 0.0.0.254

Câu lệnh của tuaninbox cần sửa tí xíu:
access-list 101 deny ip any 172.168.1.0 0.0.0.254

Cái này của tôi công nhận sai, nó cấm địa chỉ chẵn chứ ko phải lẻ

**kokichi81** · 28-05-2004, 10:28 AM

Bạn có thể dùng hai cách :
1. Access-list 101 permit ip any 172.168.1.1 0.0.0.254
2.Access-list 101 deny ip any 172.168.1.0 0.0.0.254
Access-list 101 permit ip any any

**SunOne** · 28-05-2004, 12:08 PM

to KoKiChi81:

Originally posted by kokichi81

Bạn có thể dùng hai cách :
1. Access-list 101 permit ip any 172.168.1.1 0.0.0.254
2.Access-list 101 deny ip any 172.168.1.0 0.0.0.254
Access-list 101 permit ip any any

Bạn vui lòng xem lại yêu cầu của bạn dothuank :

Router nối tới một Lan có địa chỉ mạng là 172.168.1.0/24, để cấm các ma9ng khác truy cập vào các host có địa chỉ lẻ thôi thì cấu hình như thế nào?

Hai cách của KoKiChi81 đưa ra là cấm chẵn chứ đâu phải cấm lẻ ???!!!!!!!

**ninhhn** · 08-06-2004, 01:38 PM

Tóm lược lại bài này một chút nhé:
"Router nối tới một Lan có địa chỉ mạng là 172.168.1.0/24, để cấm các mạng khác truy cập vào các host có địa chỉ lẻ". Từ đây suy ra có hai hướng giải quyết vấn đề:
1)Cấm tất cả các địa chỉ lẻ và cho phép các địa chỉ khác:
access-list 101 deny ip any 172.168.1.1 0.0.0.254 // Cam cac dia chi lẻ
access-list 101 permit ip any any // Cho phép các địa chỉ còn lại - là địa chỉ chẵn
(Như danguyennhi)
2)Cho phép các dịa chỉ chẵn và cấm tất cả các địa chỉ còn lại
Access-list 101 permit ip any 172.168.1.0 0.0.0.254 //(cho phép các địa chỉ chẵn)
Access-list 101 deny ip any any //(cấm các địa chỉ còn lại – là các địa chỉ lẻ) --> thực ra thì câu này không cần thiết lắm bởi theo default đã là như vậy rùi.
(Nhu Sunone)

**aTa100** · 10-06-2004, 06:53 AM

Áp vào chiều IN hay OUT vậy các bác ?

**1'hpSky** · 10-06-2004, 10:20 AM

to aTa100,
với các Extended ACL mà không sử dụng thêm các keyword như Established thì áp vào chiều nào cũng có tác dụng giống nhau.

**aTa100** · 11-06-2004, 03:46 AM

Anh Thông ơi, em không nhớ là đọc ở đâu có nói là không nên áp vào chiều IN vì Router sẽ phải xử lí nhiều hơn, không biết có đúng kô anh ?

**danguyennhi** · 11-06-2004, 09:13 PM

Hi ata100

áp đặt các access-list theo chiều IN hay chiều OUT tùy thuộc vào từng tình huống cụ thể và tuỳ thuộc vào chiều của traffic. Dù là chiều IN hay chiều OUT thì routers đều phải xử lý giống nhau.

Điểm mấu chốt trong access-list là access-list chỉ hiệu lực (áp dụng) cho các traffic đi xuyên qua routers chứ không cho các traffic xuất phát từ bản thân router đó.

chúc vui vẻ,

**ninhhn** · 15-06-2004, 01:14 PM

Re: Thac mac ve Wildcard mask

- Đúng như những gì mà danguyennhi nêu ở trên, điểm mấu chốt trong access-list là access-list chỉ hiệu lực cho các traffic đi xuyên qua router chứ không cho các traffíc xuất phát từ bản thân router đó. Điều này chúng ta thấy rất rõ đối với các đường telnet, nên người ta phải đưa ra các access-list riêng dành cho các đường vty.
- Thông thường có các luật khi áp dụng access-list. Đối với loại standard người ta sẽ đặt access-list sao cho gần đích nhất, còn đối với extended thì đặt gần nguồn nhất ... (những luật thông dụng này các bạn có thể xem ở hình trong file gắn kèm).
- Khi muốn đặt luật thì đầu tiên ta phải chọn router nào, interface nào, và chiều nào rồi sau đó mới tính toán để đưa ra access-list phù hợp.

**1'hpSky** · 16-06-2004, 11:56 AM

aTa100, Trong một số sách trước đây thì Cisco khuyến nghị là nên đặt ACL theo chiều OUTbound (Trước đây có một bài viết về vấn đề này rồi nhưng mình không tìm ra). Nghĩa là cisco khuyến khích mình viết các ACL để gán theo chiều OUTbound.
Thực tế thì vẫn phải dùng cả IN và OUT mới thực hiện được các policy như mong muôn.
Thân!

**duonglt** · 16-07-2004, 03:09 PM

Wildcard mask- How to calculte?

Another question
Khi tính toán wildcard mask trong ACLs, trong sách của Synbex hướng dẫn theo blocksize nhưng em thấy chỉ đúng trong một số trường hợp vời những blocksize chuẩn như: 4, 8, 16, 32, 64...Khi đó wildcard mask = blocksize -1. Còn trong CNAP thì trình bày khá sơ sài, họ chỉ nói theo "care" bits và "don't care" bits
Vậy em muốn hỏi các anh có cách tính wildcard mask nào nhanh và chính xác không?
Cảm ơn mọi người

**fedora** · 16-07-2004, 04:15 PM

Re: Wildcard mask- How to calculte?

Bạn có thể dựa vào Subnet Mask để tính wildcard mask bằng cách sau:
+những byte nào là 255 trong subnet mask thì trong wildcard mask là 0
+những byte B1 nào ko fải 255 trong sunnbet mask thì byte tương ứng trong wildcard mask là 255-B1.
+Những byte nào là 0 trong subnet mask thì byte tương ứng trong wildcard mask là 255.

ví dụ: SM 255.255.192.0->WM 0.0.63.255(255-192=63)
ví dụ: SM 255.255.255.224->WM 0.0.0.31.255(255-224=31)
------------------------------
Good luck

**nhanh** · 17-07-2004, 11:59 PM

hi
Theo cách lesingle thì cũng ổn khi tính toàn bộ dải subnet.
Nhưng cần chú ý khi tính những trường hợp mà chỉ lấy nửa dải subnet(rất hay hỏi trong khi thi). Khi đó, công thức tính Wildcard Mask sẽ là (256-B1)/2 -1 ( Cũng nghĩa là bằng blocksize/2 -1), và phải chọn địa chỉ mạng thích hợp

Ví dụ : cho subnet 172.16.16.0 255.255.240.0

Khi đó, để lấy nửa dải địa chỉ dưới : 172.16.16.0 0.0.7.255
Để lấy nửa dải địa chỉ trên : 172.16.24.0 0.0.7.255

duonglt nên cẩn thận với kiểu tính lấy từng phần của dải subnet này

Thân

**nhanh** · 18-07-2004, 12:05 AM

hi
Theo cách lesingle thì cũng ổn khi tính toàn bộ dải subnet.
Nhưng cần chú ý khi tính những trường hợp mà chỉ lấy nửa dải subnet(rất hay hỏi trong khi thi). Khi đó, công thức tính Wildcard Mask sẽ là (256-B1)/2 -1 ( Cũng nghĩa là bằng blocksize/2 -1), và phải chọn địa chỉ mạng thích hợp

Ví dụ : cho subnet 172.16.16.0 255.255.240.0

Khi đó, để lấy nửa dải địa chỉ dưới : 172.16.16.0 0.0.7.255
Để lấy nửa dải địa chỉ trên : 172.16.24.0 0.0.7.255

duonglt nên cẩn thận với kiểu tính lấy từng phần của dải subnet này

Thân

**sunhacker** · 08-03-2005, 05:17 PM

******* sai hay đúng????

Trong ******* v63.1, cau 5 trang 60:
Choose the correct access list statements form the left and drag them to their
corresponding IP address on the right. (Not all the access list statements are used.)
access-list 2 deny 172.26.48.0 0.0.15.255
access-list 3 deny 172.26.64.0 0.0.31.255
access-list 4 deny 172.26.128.0 0.0.31.255
access-list 5 deny 172.26.192.0 0.0.31.254
access-list 6 deny 172.26.192.1 0.0.31.254

Và dãy địa chỉ cần chặn như sau:
172.26.92.10
172.26.198.94
172.26.50.173
172.26.144.17

theo tôi,:
172.26.92.10 ==> access-list 3 .>>>> Đúng
172.26.50.173==> access-list 2 >>> đúng
172.26.144.17==> access-list 4 >>> đúng
172.26.198.94==>????

Nhưng trong đáp án:
172.26.198.94==> access-list 6 ?????
Bạn nào hiểu được làm ơn giải thích giùm đoạn này với
Vì tôi thấy wildcast mask lam sao lai có thể là 0.0.31.254 mà chặn được chính xác host được???

Announcement

Thac mac ve Wildcard mask

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment