Các bạn ơi ! chỉ cho mình biết sự khác biệt giữa Extended ACLs và Standard ACLs nhe ! cám ơn nhiều

Chào bạn!
Standard ACLs: chỉ cần xác định destination.
Extended ACLs: thì cần xác định source, destination.

Chẳng lẽ Extended ACL chỉ cần xác định source và destination address thôi hả các bạn , kô còn làm thêm được gì ah :?:

hi flagh,
Mình không nghĩ như bạn đâu, bạn xem lại coi chính xác không nhé
Standard ACLs: chỉ cần xác định source address.
Extended ACLs: thì cần xác định source, destination và port của ứng dụng.
Thân chào

Hihi!
Sorry! flag bị nhầm, chắc là do vội về nhà nên bị nhầm rồi. Lên pro ma` điện thoại reo liên tục.
Thanks!

Chào các bạn!
Mình nghĩ nói như anh Khôi thì đúng đó, nhưng ngoài ra còn gì khác nữa không bạn ơi, có gì chỉ mình biết thêm nhe bạn. cám ơn nhiều !
Chúc vui nhe ! thân chào hiii

Qua các bài trả lời của các anh mình xin có ý kiến sau.Về câu hỏi của bạn.

Các bạn ơi ! chỉ cho mình biết sự khác biệt giữa Extended ACLs và Standard ACLs nhe ! cám ơn nhiều

+Standard IP ACL chỉ quan tâm/làm việc với source address
và nó chỉ làm việc với Host và Network address hay nói cách khác là nó deny or permit all traffic from a specific source device.

+Extended ACL thì quan tâm/làm việc với source address,destination address,IP Protocol(TCP or UDP) và Protocol information (port number.......telnet = 23,http = 80 )
Bạn cứ hình dung là "Extended"có nghĩa là mở rộng ra từ "Standard" thì bạn sẽ phân biệt được sự khác nhau giữa 2 cái.Bên Extended ACL thì deny or permit một traffic từ một source đến destination và cho phém đi qua cổng nào.

Mình trình bày theo cách nghĩ dân dã của mình mong rằng giúp bạn phần nào câu hỏi.

hi all !
cám ơn các bạn nhiều lắm, nhưng còn khác biệt gì nữa không! nhớ nói mình biết thêm nhe !
Cám ơn rất nhiều !
:mad: Chúc mọi người vui vẻ nhe !hiiii

Các bạn viết thiếu, Trong Extended ACL còn có một trường optional nữa là Established, dùng để check các gói tin thiết lập liên kết (đối connection oriented).
thân!

Nhân tiện đây cho tôi hỏi chút xíu:

tôi muốn dùng ACL để:

Cấm telnet vào Router từ địa chỉ thuộc Subnet A.
Cho phép các lưu thông mạng còn lại.

thì phải config Router như thế nào? (tôi mới học về CISCO nên chưa biết nhiều, hi`)

Theo mình thì như thế này:
access-list access-list-number permit source wildcard
line vty 0 4
access-class access-lits-number in

anh flag kô cho lệnh permit any any nữa hả anh ?

Theo mình, ACL dùng để lọc các thông tin trước khi định tuyến (routing information), có hai kiểu lọc là: Standard và Extended. Trong đó,
- Standard chỉ có thể lọc được địa chỉ source IP của gói tin
- Extended có thể lọc được địa chỉ source và destination IP, ngoài ra nó có thể lọc được cả giao thức (IP Protocol) của gói tin như TCP, UDP, ICMP... và cả thông tin về giao thức đó (như là port numbers của cả giao thức TCP hoặc UDP ở cả địa chỉ nguồn và địa chỉ đích-chú ý là chặn được Port number ở cả nguồn và đích)
Với
-Standard ACLs đánh số trong khoảng 1–99 và 1300–1999, extended ACLs đánh số
từ 100–199 và 2000–2699.

Ngoài ra Extended và Standard ACL còn khác nhau ở cách đặt ACL
- Nếu là Standard ACL thì nên ( tốt nhất ) nên đặt tại vị trí Router có subnet chứa destination address ( trong ACL )
- Nếu là Extended ACL thì nên đặt ACL tại vị trí ROuter có source address ( denied ) trong ACL .

Hi Hajime,

Theo mình nghĩ thì standard ACL nên để gần source, còn EXT ACL nên để gần Des. Bạn có ý kiến gì khác không?

Thân.

Hi, oriental !

-- Thử nghĩ xem nhé : (1)----------Router1----------Router2-----------Router3-----(2)

- Nếu Router3 có 2 subnet nối với nó : (2a) và (2b)
- Nếu dùng ACL cấm mạng (1) qua 1 subnet trong mạng (2) chẳng hạn : 2a. Nếu để Standard để ở Router1 thì khi các máy trong subnet (1) muốn communicate với các máy trong subnet (2b) thì cũng không được , do Standard ACL chỉ xét source address. Lúc này source add là mạng (1).
- Lập luận tương tự cho Extended ACL, thì ta sẽ thấy Extended nên đặt ở Router3 là tốt nhất.

------ Đặt ACL sao cho có thể improve traffic trong hệ thống.
Thân chào và hẹn gặp lại. MATA!

Theo em:
St ACL filer packet chỉ dựa vào source IP add (cái này thì giống máy anh quá)
Nhưng: Extended ACL thì filer packet chỉ dựa vào thông tin từ: Application, Transport layer, Network layer (IP add). Vậy đã rõ thắng Extended ACL nó scan packet không thiếu cái....???.... gì Tận 3 lớp cơ đấy

Thân 2!

Long xin bổ sung một số ý kiến như sau

1/ Extended ACL không chỉ dựa vào địa chỉ source/ địa chỉ đích, port...mà còn dựa vào các cờ trong TCP/UDP hoặc các field trong IP Precedence

2/ Địa chỉ đặt ACL mang tính chất tương đối. Không nhất thiết standard là đặt gần đích, êxtended là đặt gần source

3/ ACL làm tốt tài nguyên hệ thống và tăng delay

4/ Chúng ta chỉ đang đề cập đến IP ACL

Theo mình thì như thế này:
access-list access-list-number permit source wildcard
line vty 0 4
access-class access-lits-number in
Ngoài lệnh trên, bạn còn có thể dùng Ext ACL để cấm telnet bằng cách cấm port 23 là đựơc.

mình cũng muốn góp ý chút hiiiiii
có 1 sự khác nhau nữa là đối với standard ACLs thì chúng ta lên cofig router để chặn trên interface gần dentisnation(để tránh cấm cả những mạng ko cần thiết)

còn với Extended ACL thì lên chặn trên interface gần nguồn (tối ưu hơn)

Xoay đi quẩn lại cũng chỉ có một số cái đó thôi mà.Gộp tất cả các ý kiến đó......là đủ hiểu sự khác nhau của 2 cái rùi.

ngắn gọn là thế này :
+ Standard ACL :
- permit/deny 1 hay nhiều source - subnet
- xóa toàn bộ standard ACL = câu lệnh no access-list access-list-number
- Standard ACL nên đặt gần đích (Router chứa subnet/IP đích)
- Đánh số 1–99 và 1300–1999
+ Extended ACL :
- permit/deny các gói tin TCP,IP,telnet,...,các port, xác định địa chỉ nguồn - đích
- mặc định luôn có lệnh deny any any
- Xóa từng dòng lệnh ACL = câu lệnh có no đằng trước
- Extended ACL nên đặt gần nguồn (Router chứa subnet/IP nguồn)
- Đánh số 100–199 và 2000–2699
Chúc bạn thành công !!!!

Hi Hajime,

Theo mình nghĩ thì standard ACL nên để gần source, còn EXT ACL nên để gần Des. Bạn có ý kiến gì khác không?

Thân.

Ngược lại mới đúng, đây là một trong những khuyến nghị cơ bản nhất về ACL

Mình vừa mới học về ACLs, chưa đọc thêm nên chưa hiểu lắm, lên 4rum hỏi 1 chút.
Ví dụ:

access-list 101 permit tcp host 10.1.1.1 172.16.5.0 0.0.0.255 eq www
Lệnh này có nghĩa là sao? Ý mình chưa hiểu ở chỗ TCP & WWW (có phải là nó chỉ cho Host chạy www nào sử dụng TCP thôi àh??)
P/s: đừg chê e gà nhé...ai bít giải thích cặn kẽ dùm nhé!!!
Thanks...

Hi,

Giao thức www (web) sử dụng TCP để truyền.

Các giao thức khác sử dụng TCP như: SMTP, POP3, FTP, HTTP, HTTPS, telnet, SSH...

Các giao thức sử dụng UCP: TFTP, DNS,...

Còn ping là dùng giao thức ICMP

Các quy định này đc định nghĩa trong mô hình TCP/IP và OSI.

Thân,

ko..í e đag thắc mắc trong cái lệnh ACL kia cơ...tức là nó chỉ cho host đó chạy WWW thôi chứ gì??? còn những ứng dụng khác cũng dùng TCP đều bị denny phải kO?

Theo mình, ACL dùng để lọc các thông tin trước khi định tuyến (routing information), có hai kiểu lọc là: Standard và Extended. Trong đó,
- Standard chỉ có thể lọc được địa chỉ source IP của gói tin
- Extended có thể lọc được địa chỉ source và destination IP, ngoài ra nó có thể lọc được cả giao thức (IP Protocol) của gói tin như TCP, UDP, ICMP... và cả thông tin về giao thức đó (như là port numbers của cả giao thức TCP hoặc UDP ở cả địa chỉ nguồn và địa chỉ đích-chú ý là chặn được Port number ở cả nguồn và đích)
Với
-Standard ACLs đánh số trong khoảng 1–99 và 1300–1999, extended ACLs đánh số
từ 100–199 và 2000–2699.

Hi kid_of_god_2003,

- Packets có thể bị Inbound ACL filter trước khi tới Interface (filter tại interface này xảy ra trước khi packets được router routing);

- Packets cũng có thể bị Outbound ACL filter sau khi rời khỏi Interface (filer tại interface này xảy ra sau khi packets được router routing).

Vài lời trao đổi :)

Thân

hi flagh,
Mình không nghĩ như bạn đâu, bạn xem lại coi chính xác không nhé
Standard ACLs: chỉ cần xác định source address.
Extended ACLs: thì cần xác định source, destination và port của ứng dụng.
Thân chào
bac noi the la dung nhung em nghi con thieu
VD:
ACls standard: khi deny 1 dia chi 192.168.1.1 thi deny tat ca cac traffic luon( no khong deny hay permit traffic duoc)
ACls extend: khi deny dia chi tren khong cho truy cap bang traffic http thi cac traffic khac(FTP...) van hoat dong duoc

1 cách đơn giản nhất:
Standard ACLs thì đặt càng gần đích càng tốt.
Extend ACLs thì đặt càng gần nguồn càng tốt.
Bạn chỉ cần nhớ rõ như vậy là bảo đảm ko sai.

Bổ sung thêm tí vào bài của bạn (http://vnpro.org/forum/member.php?u=9725)BigBom84 (http://vnpro.org/forum/member.php?u=9725)
+ Standard ACL :
- permit/deny 1 hay nhiều source - subnet
- xóa toàn bộ standard ACL = câu lệnh no access-list access-list-number
- Standard ACL nên đặt gần đích (Router chứa subnet/IP đích)
[vì permit or deny ip source => gần source sao cấm được]
1.1.1.1-----------------|----192.168.3.0
------------------------|
---------------------192.168.1.0
Nếu đặt gần nguồn nhưng ta chỉ muốn cấm 1.1.1.1 đến 192.168.1.0 thì làm sao cấm được. [Ở đây ta vô tình cấm 1.1.1.1 đến 192.168.3.0 luôn]


- Đánh số 1–99 và 1300–1999
+ Extended ACL :
- permit/deny các gói tin TCP,IP,telnet,...,các port, xác định địa chỉ nguồn - đích
- mặc định luôn có lệnh deny any any
- Xóa từng dòng lệnh ACL = câu lệnh có no đằng trước
- Extended ACL nên đặt gần nguồn (Router chứa subnet/IP nguồn)
[vì đặt gần nguồn tránh lãng phí băng thông (gói tin đi hết môt vòng tới đích đó bị chặn => tốn thời gian đi)]
- Đánh số 100–199 và 2000–2699

Note:
Đối với Extended ACL ta nên cấm triệt để các cổng vào.
Vd: ta dùng ACL extended cấm mạng PCA 1.1.1.1 vào R2 với source 1.1.1.1 và dest là 2.2.2.2 nhưng PC A này có thể vào R2 qua mạng 3.3.3.3

PCA----------R1—2.2.2.0/32------R2----3.3.3.3
----------------|_______________________|

Cả Standard và Extended đều có lệnh deny any any ở cuối ACL.
Trên một Interface chỉ đặt được một ACL đối với một chiều in hoặc out.