Announcement

**tanvlth** · 20-02-2004, 05:42 PM

Cảm ơn bạn rất nhiều. Đúng là vậy cảm ơn rất nhiều. Cho hỏi thêm, bây giờ cũng là mạng 192.168.1.0/27. Chỉ cho các mạng từ 192.168.32.0-192.168.63.0 vào được internet. Có cách nào tổng quát hoá không?. Xin chỉ giáo

**tuaninbox** · 21-02-2004, 01:54 PM

Ta xét dãy địa chỉ subnet:

32 = 0010 0000
33 = 0010 0001
34 = 0010 0010
...
62 = 0011 1110
63 = 0011 1111

Bạn thấy rằng 3 bit bên trái luôn luôn là 001, 5 bit bên phải thay đổi từ 00000 -> 11111. Vì vậy, bạn phải tạo một access list để check 3 bit bên trái, bảo đảm rằng nó luôn luôn là 001, ignore 5 bit bên phải. Access list đó như sau:

access-list 1 permit 192.168.32.0 0.0.31.255

Thân mến,

**tanvlth** · 23-02-2004, 05:49 PM

Rất cảm ơn. Cho hỏi tiếp một câu nữa. Có ba mạng nối vào một Router, mạng 1 nối cổng E 0/0, hai mạng còn lại nối s 0/1, và s 0/2. Mạng 2, 3 được yêu cầu là cho phép truy cập đến nhau, mạng 1 không cho phép truy cập vào mạng 2, và mạng 3. Còn mạng 2,3 thì cho phép truy cập đến mạng 1. Đặt access-list cho cổng E0/0 như sau cho chiều vào in:
acess-list 111 deny ip mạng-1- ip willdcardmask-1 any.
acess-list 111 permit ip any any.

Khi ping kiểm tra mạng 2 có truy cập vào mạng 1 hay không thì không nhận được gói phản hồi. Nguyên nhân là do chặn tất cả các gói từ mạng 1 truyền đến. Có cách nào khắc phục được không? Mong giúp đỡ.

**lehuytoan** · 24-02-2004, 08:33 AM

tanvlth,
Mình nghĩ là không có cách nào.
Cấm mạng 1 truy cập vào mạng 2,3 đồng nghĩa với việc cấm 2,3 liên lạc với mạng 1.
Thân chào,

**act** · 25-02-2004, 03:55 PM

act nghĩ là có cách, chắc chắn là sẽ có cách
nhưng chưa nghĩ ra đành nhờ các vnbro giúp vậy

cho ACT hỏi 1 vấn đề liên quan đến ACL thế này:
- nều lỡ tay xài NAT overloading
- trong cấu hình ACL chặn theo port

NAT overloading thay đổi source port rồi, qua router bị access-list chặn lại thì làm sao packet đến được đích?

nhờ các vnbro chỉ giúp
ACT cám ơn

**1'hpSky** · 26-02-2004, 05:28 PM

Re: Hoi ve wildcard mask trong accesslist

hi tanvlth!

bạn muốn viết các ACL chặn một chiều như vậy thì cần phải chú ý đến một tham số nữa là "Established". Cho phép check các gói tin (thuộc loại connection oriented) đã được thiết lập hay chưa-thực chất là check trường ACK trong gói tin bằng 1 hay bằng 0
(
Trong TCP có thuật ngữ là: 3-way handshake,
gói tin gửi đi thiết lập liên kết có cờ ACK = 0
gói tin trả lời có ACK =1 ( mình kô nhớ chính xác đoạn nay- co thể ngược lại)
)
khi đặt các ACL kiểu này cần cực kỳ chú ý đến việc đặt inbound hay outbound.

Thân

**1'hpSky** · 26-02-2004, 05:32 PM

Re: Hoi ve wildcard mask trong accesslist

Quên, đối với các gói tin ICMP thì cần chú ý đến Echo-request và Echo-reply,
chúc bạn thành công!

**milovn** · 04-03-2004, 11:28 AM

Originally posted by tuaninbox

Bạn hãy thử access sau xem thế nào:
access-list 1 permit 192.168.1.2 0.0.0.254

Bạn tuaninbox có thể giải thích chi tiết giùm chỗ này được không, mình ngẫm mãi nhưng vẫn không hiểu :( .

Cảm ơn rất nhiều.

**1'hpSky** · 04-03-2004, 06:03 PM

192.168.1.2 0.0.0.254

2:0000 0010 254:1111 1110

nghĩa là chỉ permit những IP add nào có dạng: 192.168.1.x (x= 2, 4,6...)

**tanvlth** · 05-03-2004, 08:08 AM

Bạn Thông, cám ơn bạn rất nhiều. Trong các sách CCNA mình có không có nói chi tiết về phần này. Nhờ bạn nêu vài tài liệu có liên quan đến ACL chặn một chiều. Xin cảm ơn nhiều.

**milovn** · 05-03-2004, 11:22 AM

Cảm ơn bạn Thông nhiều! Hôm qua đọc xong vẫn chưa hiểu, tối về nhà ngồi vắt tay lên trán, nghĩ một hồi nữa, thế là hiểu :). Thật ra sau khi nghĩ tới định nghĩa : bit nào cần check thì wildcard bit =0, còn bit nào lờ đi thì wildcard bit=1 thì mình mới hiểu được.

**mmx** · 25-05-2004, 02:00 PM

Originally posted by tuaninbox

Bạn hãy thử access list sau
access-list 101 deny ip any 172.168.1.1 0.0.0.254

Thân mến,

Đúng vậy, câu này dễ hà. Vấn đề của bạn là tính wildcard mark thôi, cấm lẻ thì chỉ cần phải so sánh bit cuối cùng, do đó WM đặt là: 0.0.0.254

Câu lệnh của tuaninbox cần sửa tí xíu:
access-list 101 deny ip any 172.168.1.0 0.0.0.254

**SunOne** · 26-05-2004, 11:05 AM

Re: Thac mac ve Wildcard mask

To tuaninbox ::?
Mình chưa thấy địa chỉ network/subnetwork nào là x.x.x .1 như bạn nói (172.168.1.1).
To mmx ::?
access-list 101 deny ip any 172.168.1.0 0.0.0.254
1- câu lệnh này là cấm các địa chỉ chẵn trong network 172.168.1.0 chứ !!!
2-Theo mình phải sửa lại như sau :
Access-list 101 permit ip any 172.168.1.0 0.0.0.254 //(cho phép các địa chỉ chẵn)
Access-list 101 deny ip any any //(cấm các địa chỉ còn lại – là các địa chỉ lẻ)
Các bạn xem lại có phải không ạ .Cảm ơn. :lol:

**danguyennhi** · 26-05-2004, 04:52 PM

đáp án của tuaninbox là đúng rồi.

Access-list đầy đủ sẽ là như sau:

access-list 101 deny ip any 172.168.1.1 0.0.0.254
access-list 101 permit ip any any

**mmx** · 28-05-2004, 08:27 AM

Re: Thac mac ve Wildcard mask

Originally posted by SunOne

To tuaninbox ::?
Mình chưa thấy địa chỉ network/subnetwork nào là x.x.x .1 như bạn nói (172.168.1.1).
To mmx ::?
access-list 101 deny ip any 172.168.1.0 0.0.0.254
1- câu lệnh này là cấm các địa chỉ chẵn trong network 172.168.1.0 chứ !!!
2-Theo mình phải sửa lại như sau :
Access-list 101 permit ip any 172.168.1.0 0.0.0.254 //(cho phép các địa chỉ chẵn)
Access-list 101 deny ip any any //(cấm các địa chỉ còn lại – là các địa chỉ lẻ)
Các bạn xem lại có phải không ạ .Cảm ơn. :lol:

:)), thứ nhất, tuaninbox đúng.
:D, thứ hai, không cần lệnh : Access-list 101 deny ip any any bạn viết (defaul cuối ACL nó có rồi)

Announcement

Thac mac ve Wildcard mask

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment