Nếu bạn áp theo chiều IN thì gói tin nếu match access-list của bạn, nó sẽ drop trước.
Nếu bạn áp theo chiều OUT thì gói tin nó sẽ được Route ra outgoing interface, sau đó đụng access-list thì nó mới drop.
Như vậy trong tình huống này, sử dụng chiều IN sẽ đỡ tốn performance cho Router hơn.

Tuy nhiên nếu như có đến 2 cái OUTSIDE đang kết nối vào SW của bạn. Thì trường hợp này áp theo chiều OUT sẽ có lợi hơn. Do bạn chỉ cần áp 1 access-list lên interface Vlan. Nếu sử dụng chiều IN thì sẽ phải áp lên 2 interface trên SW của bạn.

Thanks PhuongHoang,
- Vấn đề áp ACL Interface nào cho có lợi mình thì mình hiểu.
- Mình chỉ thắc mắc tại sao cùng 1 kịch bản ACL, áp trên VLAN theo chiều OUT (Nếu theo chiều IN thi không tác dụng). Nhưng khi áp trên Gi0/1 thì phải áp theo chiều IN (OUT không tác dụng).
- Trên nguyên tắc thì từ OUTSIDE ping vào, gói tin sẽ đi vào (IN) Gi0/1 --> (IN) VLAN 10 ---> HOST. Chỗ (IN) VLAN là cái mình ko hiểu. Mong bạn chỉ điểm dùm mình

Thanks,

Bạn hãy hình dung như thế này để bạn thấy rõ hơn về hình ảnh của access-list:

ACL - Interface - RoutingTable - Interface - ACL

Như vậy khi một gói tin chạy vào Router thì nó sẽ đụng ACL trước.
Nhưng khi qua bản routing nó phải chạy ra ngoài interface trước rồi mới đụng ACL

Hy vọng với hình ảnh trên bạn hiểu được khi nào IN khi nào OUT

Hiểu như thế này cho đơn giản nè

OUTSIDE --------(Gi0/1)Switch--------VLAN10 (123.234.10.1/26)
----------------------------------------------------------------->

Theo chiều mũi tên (cũng là chiều flux traffic), bạn nhào vào SW (trên Gi0/1) rồi bạn ra khỏi SW trên VLAN 10.

Như vậy có nghĩa là bạn chặn (ACL) trên Gi0/1 (IN) hay VLAN 10 (OUT) về cơ bản là giống nhau (chú ý về cơ bản thôi nhé)

Nếu theo chiều như vậy mà bạn chặn OUT trên Gi0/1 hay IN trên VLAN10 thì có tác dụng gì ko ?

Chân thành cảm ơn LamPhuongHoang & Mr.LeVy đã nhiệt tình
- Mình đã nắm được cơ bản IN / OUT. Mình sẽ minh họa theo hình sau:


- Câu hỏi của Mr.Levy ko biết là có mẹo hay không, nhưng cũng xin trả lời là không có tác dụng (theo kịch bản trên). Nhưng sẽ có tác dụng khi đổi chiều cấm ngược lại, tức là cấm Host --> Outside

Mong các anh chỉ điểm thêm!

Bạn thuantp dường như đã clear vấn đề này rồi đó.
Chúc bạn nghiên cứu tốt nhé

Theo toi thay thi Mr.Levy khong dat cau hoi nay de hoi thuantp, ma dung y cua Mr.Levy la muon chung ta nen suy nghi tinh logic cua van de.
Neu chi don thuan la muon tim hieu ve su khac nhau thi co le Mr.Levy & LPH da co 1 su giai thich thoa dang.
Neu de ap dung tren thuc te thi nen ap dung nguyen tac can ban cho ACL la "standard acl as close to the destination as possible, extended ACL close to the source". Trong truong nay, chung ta nen chan tu cong giga vi no dat gan voi ping sources.

:D, tớ đang hiểu về vấn đề in-out này, tự nhiên nhìn vào cái hình bạn Thuantp vẽ, cảm thấy rối rắm quá.
đang nói về VLAN, tự nhiên vẽ cổng Fast Ethernet :D

Hiểu cơ bản là như thế này : IN hay Out thì phải có hệ quy chiếu. (vào [IN] cái gì ? ra [out] cái gì ?) Điểm gốc của hệ quy chiếu ở đâu ? --> là thiết bị (router hay Switch). IN là vào Router, OUT là ra ROUTER. IN/OUT trên cổng giao tiếp nào của Router thì apply ACL trên interface đó.

Như vậy đứng từ Router thì sẽ thấy traffic đi vào (IN) Gi0/1 & đi ra (OUT) VLAN10.
như vậy mình có thể áp dụng ACL vào hướng IN của Gi0/1 hoặc hướng ra (OUT) của VLAN 10.

p/s: Đừng nhầm lẫn là IN VLAN 10 nghen. traffic đi vào VLAN 10 rồi đi ra VLAN 10 tới host. Phần traffic đi vào VLAN 10 trong trường hợp này là nội bộ của router. mà việc nội bộ thì để nội bộ router giải quyết (nói đùa thôi ) :D .
Câu lệnh ACL trường này kg apply cho nội bộ router được nên phải apply hướng đi ra (out) VLAN10 để đến host.