View Full Version : KHi nào dùng acl standard và khi nào dùng acl extend
thuytt
03-04-2009, 11:52 AM
Em mới học ccan,đọc về acl thấy nói sơ qua toàn command line mà không thấy nói kĩ vấn đề dùng các command trên trong những trường hợp nào,khi nào,ý nghĩa của nó và mong các anh chị có thể đọc sách nào nói kĩ về fần này.Em đọc trong sybex và icnd thấy sơ sài quá,chỉ hiểu ý nghĩa của câu lệnh thôi.Hạn chế của command sequence number cũng như điểm mạnh của nó là j`!
luancb
03-04-2009, 04:13 PM
Standard acl thì nên đặt gần destination (kiểm tra source)
Extend acl thì nên đặt gần source ( kiểm tra source, des, protocol, application)
Do đó, tuỳ nhu cầu mà ta sử dụng kiểu nào, ví dụ, muốn host A truy cập internet, và cấm truy cập server. thì dùng standard, nó sẽ cấm hết vì chỉ kiểm tra source. như vậy ta cần sử dụng extend để phù hợp với yêu cầu này.
Locmap
26-10-2010, 11:07 AM
a Luân làm ơn nói rõ dùm em xí đuợc không ạ???? " host A truy cập internet, và cấm truy cập server. thì dùng standard, nó sẽ cấm hết vì chỉ kiểm tra source. như vậy ta cần sử dụng extend để phù hợp với yêu cầu này. "...... luc nào dùng standard,lúc nào dùng extend,nếu đuợc chỉ rõ xem xí về REFLEXIVE ACCESS-LIST
Thank anh
MrArido
26-10-2010, 03:45 PM
Standard thì chỉ lọc theo IP nguồn thôi, Extended thì lọc cả IP nguồn, đích, Port nguồn, đích, protocol.
Ý tưởng của Reflexive như sau: đối với những SV trong KTX muốn ra ngoài ăn cơm, gặp bảo vệ thì bảo vệ cho ra, 1 chút quay trở vào được. Còn người lạ khơi khơi muốn vào chơi thì bảo vệ không cho. Ở đây, bảo vệ được ví như firewall router, KTX là mạng inside, ở ngoài là outside, gói tin là sinh viên.
Về mặt kĩ thuật, để làm được điều này thì router sẽ xem xét những gói tin đi từ mạng trong ra ngoài, nếu bạn muốn traffic đi theo ý tưởng trên thì cấu hình ACL với từ khóa reflect ở cuối. Khi đó router sẽ tự động tạo thêm các câu lệnh ACL tạm thời theo chiều từ bên ngoài vào và apply trên cổng mà bạn đã "evaluate" để cho phép gói tin trả về có thể vượt ải "bảo vệ". Còn mấy anh choai choai khơi khơi ở ngoài vô không match với câu lệnh ACL động tạm thời thì bảo vệ hổng cho vô.
Thân.
mrdlam
26-10-2010, 05:34 PM
Bạn ví dụ hay lém, thật là dễ hiểu........... :D
hntk51
03-11-2010, 10:17 AM
Standard ACLs: Lọc địa chỉ IP nguồn và đặt gần mạng đích nhất có thể.
Extend ACLs: Lọc địa chỉ IP nguồn, lọc IP đích, lọc trường giao thức, lọc số cổng. Và đặt gần mạng nguồn nhât có thể.
Bạn có thể đọc ebook này xem sao:
http://www.mediafire.com/?vgedthd5l91rr9o
Powered by vBulletin® Version 4.1.9 Copyright © 2012 vBulletin Solutions, Inc. All rights reserved.