Announcement

**bestirboy** · 31-10-2003, 03:25 PM

Mình thêm 1 chút Neo nhé! :wink:
1.
range 19 -> 31 : Subnet 192.168.1.16 WM 0.0.0.10
range 32 -> 63 : Subnet 192.168.1.32 WM 0.0.0.30
range 64 -> 95 : Subnet 192.168.1.64 WM 0.0.0.40
range 96 -> 99 : Subnet 192.168.1.96 WM 0.0.0.2

2.
Deny những IP còn lại là xong. (Lười tính wé)

3.
range 19 -> 31 : WM 0.0.0.12
range 32 -> 63 : WM 0.0.0.28
range 64 -> 95 : WM 0.0.0.28
192.168.1.96 : WM 0.0.0.0

Phần còn lại cũng tính tương tự.

Đọc xong cái mớ bòng bong của Neo thấy choáng, nhưng nó rất useful với mọi người khi đọc đến phần ACL.

Thanks Neo

**bestirboy** · 31-10-2003, 03:34 PM

Để tính WM, các bạn cố gắng nhớ các block size. Từ đó các bạn nhìn IP, có thể phán đoán nó nằm ở Block size nào cho phù hợp (Đối với trường hợp liên tục đầy đủ)
Trường hợp không liên tục, các bạn có thể tính như Neo đã trình bày ở đây : http://www.vnpro.org/forum/viewtopic.php?t=1102
và nhớ rằng: để tính SM dùng phép toán "AND" và WM dùng phép toán "OR" giữa các khoảng IP.

Chúc thành công

**jogi** · 31-10-2003, 05:12 PM

Bạn sskkb gi đó ơi....Theo mình thấy thì bài cua Hateboy giải như vậy là đúng rồi mà...!
Bởi vì theo yêu cầu đề bài thì ta phải deny các packet trong range
192.168.208.0 /24-->192.168.216.0 /24
chứ không phải deny các máy ở mạng 192.168.208.0 /24 gởi tới 192.168.126.0/24
(như cách giải của bạn flag).
Hình như you hiểu chưa đúng lắm ý của Mikami thì phải...!

Thân mến./.

**Chinhtt** · 01-11-2003, 03:48 PM

Làm sao để tính được Subnet khi filter các máy từ 192.168.1.19 đến 192.168.1.99 hả bác Neo (Em vừa mới vào Forum để học hỏi):

19 -> 0001 0011
31 -> 0001 1111
=> Subnet 192.168.1.16 Mask 0.0.0.15

Bác chỉ cách tính dùm em, hoặc địa chỉ nào đó cũng được. Cảm ơn.

**ptls_light** · 04-12-2003, 03:56 PM

Thac mac ve Wildcard mask

Em xin chào !

Xin các pro của diễn đàn giúp em rõ điều này:

Có phải access-class là dành cho standard access-list, còn access-group là dành cho extended access-list không?
Hai dòng lênh đó có phải cùng tính năng là accept một access-list trên một giao diện không?

Chân thành cảm ơn !

**netdevice** · 05-12-2003, 02:44 PM

Chào chị,

access-group được cấu hình ở chế độ interface để đặt một access-list (cả standard và extended) vào interface đó nhằm điều khiển lưu lượng.
access-class được cấu hình ở chế độ line vty nhằm cho phép các địa chỉ nào được phép hay không telnet đến router.

Thân.

**cvo15303** · 05-12-2003, 03:07 PM

:roll: :roll: :roll:
ptls_light mến!
cvo cũng đang thắc mắc giống bạn đấy,mà hình như không phải access-class là dành choo standard ACL,access-group dành cho extend đâu.
-Standard ACL là các policy được thiết lập dựa vào source addr của packet và áp dụng cho toàn bộ các IP service,nó được đánh số từ 1-99
-Extended ACL là các policy chi tiết hơn, được thiết lập dựa vào source addr,dest addr của packet và chỉ áp dụng cho 1 hoặc 1 số service cụ thể nào đó(TCP,UDP,ICMP,..),nó được đánh số từ 100-199
-Để triển khai các policy này trên 1 interface ta cần nhờ đến command ip access-group ..... bất kể đó là standard hay extended ACL.Còn accept hay deny và hướng in hay out là do ý đồ tổ chức của bạn.
-access-class hình như dùng để quản lý việc access trực tiếp vào router đấy.
Cái này 1 sư huynh dạy mình thế,cvo cũng chả biết ổng nói đúng hay sai nữa.?
Mong chia xẻ cùng bạn
Chúc vui!!!
-

**it_email** · 06-12-2003, 02:41 PM

access-class để chặn telnet vào router .Nếu thiết lập tham số là in thì cấm bên ngoài telnet vào,nếu là out thì cấm chính router của bạn telnet ra router khác.Có thể xác định số line nào sẽ chặn.

**phuongcaptainvn** · 08-12-2003, 10:12 PM

Access-list

Mọi người ai có link nào có nhièu VD về Access list ko? Nhỉ , có thì cho mọi người xin với, mình thấy ko thạo lắm.Cảm ơn nhiều

**Mikami** · 09-12-2003, 02:20 AM

Anh xem link này về các câu hỏi access-list :

Vietnamese Professional

http://www.vnpro.org/forum/viewtopic.php?t=2449

Chúc vui :wink:

**lee** · 16-12-2003, 08:50 AM

ip access-group dùng để gán ACL vào interface để nó có thể hoạt động được, vì khi bạn tạo ACL mà không gán vào interface thì cũng như không.
còn access-class dùng để ngăn không cho telnet vào router, bạn cũng có thể dùng extended ACL để chặn telnet bằng cách chặn các tcp traffic có port là 23, nhưng có 1 bất lợi của việc dùng extended ACL để chặn telnet vào router là: Bạn chỉ có thể ngăn không cho các remote host telnet vào router của bạn thôi còn nếu bạn muốn ngăn không cho router của bạn telnet vào cái khác thì bó tay(vì ACL chỉ có thể ngăn những traffic đi wa router chứ không thể ngăn những traffic xuất phát từ router) còn với việc sử access-class với standard ACL thì bạn cũng có thể ngăn không cho tel net ra ngoài từ router được.

**tanvlth** · 18-02-2004, 08:19 PM

Hoi ve wildcard mask trong accesslist

Bà con ơi làm sao xet access -list cho một phòng có mạng 192.168.1.0, nối với một router ra internet. Yêu cầu là chỉ có các máy có địa chỉ chẵn trong phòng được nối internet, địa chỉ lẻ thì không. Help me, Help me

**dothuank** · 18-02-2004, 08:30 PM

Thac mac ve Wildcard mask

Router nối tới một Lan có địa chỉ mạng là 172.168.1.0/24, để cấm các ma9ng khác truy cập vào các host có địa chỉ lẻ thôi thì cấu hình như thế nào?

**tuaninbox** · 18-02-2004, 10:21 PM

Bạn hãy thử access sau xem thế nào:
access-list 1 permit 192.168.1.2 0.0.0.254

Thân mến

**tuaninbox** · 18-02-2004, 10:27 PM

Bạn hãy thử access list sau
access-list 101 deny ip any 172.168.1.1 0.0.0.254

Thân mến,

Announcement

Thac mac ve Wildcard mask

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment