:?: Using passive interface, distribute-list in, distribute-list out & access-list nhu the nao ?
access-list la quan trong nhat a

LANSING EASTERN HIGH SCHOOL CNAP
WILDCARD MASKING REVIEW WORKSHEET I

Which two of the following could be used to permit or deny one computer?
A. 1.1.1.1
B. 0.0.0.0
C. Any
D. Host

In a wildcard mask, a bit value of zero mans that the bit must be _____1_, while a bit value of one means that th bit must be _______2.

In a subnet mask, a bit value of zero mans that the bits must be ____3___, while a bit value of one means that the bit must be ___4____.

Why should each Access Control List (ACL) have to have at least one permit statement in it?

After you have successfully entered the command below*, will a host with an IP address of 172.16.10.25 be allowed, denied, or neither?
RouterA(config)#access-list 10 deny 172.16.10.0 0.0.0.255
Answer:_________5___________.

which networks would be denied by the following router command?
RouterA(config)#access-list 19 deny 172.16.16.0 0.0.31.255
Answer:_________6____________.

Which networks will be allowed by the following router command?
RouterA(config)#access-list 25 permit 210.105.23.0 0.0.16.255
Answer:_________7_____________.

Which networks will be allowed by the following router command?
RouterA(config)#access-list 18 permit 168.192.132.0 0.3.255.255
Answer:_________8______________.

Which networks will be allowed by the following router command?
RouterA(config)#access-list 86 deny 158.16.2.0 0.0.7.255
Answer:_________9______________.

To be continue... :!:

Please assume all access-lists are applied to an interface.
Activity Created by: Kyle P.Shumaker, CCNA
A friend sent to me.

hi

em chọn phương án trả lời của em đi rồi chị sẽ kiểm tra cho. đừng bắt mọi người suy nghĩ giùm em trong khi em chưa suy nghĩ.

vây đi.

Which two of the following could be used to permit or deny one computer?
A. 1.1.1.1
B. 0.0.0.0
C. Any
D. Host


Câu trả lời la B, D



In a wildcard mask, a bit value of zero mans that the bit must be _____1_, while a bit value of one means that th bit must be _______2.

In a subnet mask, a bit value of zero mans that the bits must be ____3___, while a bit value of one means that the bit must be ___4____.


1. checked
2. ignored
3. ignored
4. checked




Why should each Access Control List (ACL) have to have at least one permit statement in it?


As by default, it will implicit deny any.




After you have successfully entered the command below*, will a host with an IP address of 172.16.10.25 be allowed, denied, or neither?
RouterA(config)#access-list 10 deny 172.16.10.0 0.0.0.255
Answer:_________5___________.



5. allowed




which networks would be denied by the following router command?
RouterA(config)#access-list 19 deny 172.16.16.0 0.0.31.255
Answer:_________6____________.


6. 172.16.16.0 to 172.16.31.0



Which networks will be allowed by the following router command?
RouterA(config)#access-list 25 permit 210.105.23.0 0.0.16.255
Answer:_________7_____________.


7. 210.105.23.0 and 210.150.7.0



Which networks will be allowed by the following router command?
RouterA(config)#access-list 18 permit 168.192.132.0 0.3.255.255
Answer:_________8______________.


8. 168.192.132.0 to 168.195.132.0




Which networks will be allowed by the following router command?
RouterA(config)#access-list 86 deny 158.16.2.0 0.0.7.255
Answer:_________9______________.


9. 158.16.1.0 to 158.16.7.0

Hope it helps.

hi

em chọn phương án trả lời của em đi rồi chị sẽ kiểm tra cho. đừng bắt mọi người suy nghĩ giùm em trong khi em chưa suy nghĩ.

vây đi.

Nè sao bạn biết mình ko suy nghĩ. A mà ban ko lớn hơn mình đâu mà đòi làm chị để vài bữa nữa thì biết. :?

Bạn
[quote] ơi
[quote]
After you have successfully entered the command below*, will a host with an IP address of 172.16.10.25 be allowed, denied, or neither?
RouterA(config)#access-list 10 deny 172.16.10.0 0.0.0.255
Answer:_________5___________.



5. allowed sao dòng lệnh ở trên lại là deny vậy





which networks would be denied by the following router command?
RouterA(config)#access-list 19 deny 172.16.16.0 0.0.31.255
Answer:_________6____________.


6. 172.16.16.0 to 172.16.31.0



Which networks will be allowed by the following router command?
RouterA(config)#access-list 25 permit 210.105.23.0 0.0.16.255
Answer:_________7_____________.


7. 210.105.23.0 and 210.150.7.0



Which networks will be allowed by the following router command?
RouterA(config)#access-list 18 permit 168.192.132.0 0.3.255.255
Answer:_________8______________.


8. 168.192.132.0 to 168.195.132.0




Which networks will be allowed by the following router command?
RouterA(config)#access-list 86 deny 158.16.2.0 0.0.7.255
Answer:_________9______________.


9. 158.16.1.0 to 158.16.7.0

Mấy câu này mình cũng ko rõ lắm tại sao mình biết được là 172.16.16.0 to 172.16.31.0; 210.105.23.0 and 210.150.7.0; 168.192.132.0 to 168.195.132.0; 158.16.1.0 to 158.16.7.0

Bạn Oz ơi chỉ mình cách tìm ra mấy cái networks như thế nào vậy. Sao mình nghiệm hoài mà vẫn ko hiểu... :?

Hi,
Sorry cacodemon nha, câu 5 đúng ra là denied, do mình đọc nhầm câu hỏi.

Câu 6: answer là 172.16.16.0 to 172.16.31.0 bởi vì:

Xét wildcard mask: 0.0.31.255 viết lại dưới dạng binary sẽ là
0000 0000. 0000 0000. 0001 1111. 1111 1111

Theo như trên, thì khi router xét bất cứ ip address của packet nào đến router interface và so sánh nó với 172.16.0.0, thì router sẽ check 8 bits của octet đầu, 8 bits của octet thứ hai, 3 bits đầu tiên của octet thứ ba xem nếu nó match với ip chuẩn (172.16.0.0 - mình tạm gọi như vậy nha), tất cả những bits còn lại đều bị ignored không cần check.




0 0 0 0 0 0 0 0 . 0 0 0 0 0 0 0 0 . 0 0 0 1 1 1 1 1 . 1 1 1 1 1 1 1 1
1 0 1 0 1 1 0 0 . 0 0 0 1 0 0 0 0 . 0 0 0 0 0 0 0 0 . 0 0 0 0 0 0 0 0

Từ bit thứ 3 của octet thứ 3 trở về trước được yêu cầu phải match nên tất cả ip nằm trong khoảng cho phép đều bắt đầu là 172.16.000? ????. 0(những phần ? có thể là bit 0 hoặc bit 1)
Nếi list hết tầt cả những khả năng cò thể xảy ra với phần ? này, bạn sẽ có something like
0 0001 -----> 16
0 0010
0 0011
0 0100
......
1 1111 ----->31
Cho nên những network addresses nằm trong range từ 172.16.16.0 tới 172.16.31.0 sẽ thoả yêu cầu, tức là sẽ bị deny. Bạn xem file đính kèm sẽ dễ hiểu hơn.

Bạn thử áp dụng cùng một cách này cho những câu sau xem sao, nếu vẫn không hiểu đừng ngại cứ nói nha.

Hi, mình lấy ví dụ câu này nha
RouterA(config)#access-list 86 deny 158.16.2.0 0.0.7.255
Answer là 158.16.2.0 to 0.0.7.255 bởi vì:

Xét wildcard mask: 0.0.7.255 viết lại dưới dạng binary sẽ là
0000 0000. 0000 0000. 0000 0111. 1111 1111

check 8 bits của octet đầu, 8 bits của octet thứ hai, 3 bits đầu tiên của octet thứ ba

10011110.00010000.000_00010.00000000 -> 158.16.2.0
00000000.00000000.000_00111.11111111 -> 0.0.7.255
(3bits đầu của octect thứ ba)
=>
0 0010 -----> 2
0 0011
0 0100
0 0110
......
0 0111 ----->7

=> 158.16.2.0 to 158.16.7.0 làm vậy có đúng ko Oz
Mình còn một câu nữa mà hôm nay quên mang theo rồi để lần sau...

Thanks you very muck. All the best for you. :wink:

10011110.00010000.000_00010.00000000 -> 158.16.2.0
00000000.00000000.000_00111.11111111 -> 0.0.7.255
(3bits đầu của octect thứ ba)
=>
0 0010 -----> 2
0 0011
0 0100
0 0110
......
0 0111 ----->7

=> 158.16.2.0 to 158.16.7.0 làm vậy có đúng ko Oz
Mình còn một câu nữa mà hôm nay quên mang theo rồi để lần sau...

Thanks you very muck. All the best for you. :wink:[/quote]
-----------------
Bạn ơi,theo mình thì kết quả của dãy địa chỉ phải là :
158.16.0.0 ---> 158.16.7.255 mới đúng chứ.Vì xét octet thứ ba ,ignore 3 bit cuối : có nghĩa là các địa chỉ từ 0 --> 7,và octet thứ tư được ignore tất cả : có nghĩa là các địa chỉ từ 0 --->255.

Trước hết cho mình gởi lời cám ơn nha... hỏi tiếp nha...
Các bạn ơi lúc nào mình cũng lấy bit thứ ba của octet thứ ba hay tùy vào từng trường hợp.
10011110.00010000.000_00010.00000000 -> 158.16.2.0
00000000.00000000.000_00111.11111111 -> 0.0.7.255
(3bits đầu của octect thứ ba) :P

hi

theo mình thì sẽ tùy vào trường hợp chứ không phải lúc nào cũng lấy bit thứ ba của octet thứ ba.

chúc vui vẻ,

Hi cacodemon,
Bạn phải tuỳ thuộc vào wildcard mask để chọn những bits cần phải check và những bits có thể ignore chứ không phải lúc nào cũng là 8 bits của octet đầu, 8 bits của octet thứ hai, va 3 bits đầu của octet thứ 3 đâu. Chẳng hạn như trong ví dụ bạn vừa nêu



RouterA(config)#access-list 86 deny 158.16.2.0 0.0.7.255
Answer là 158.16.2.0 to 0.0.7.255 bởi vì:

Xét wildcard mask: 0.0.7.255 viết lại dưới dạng binary sẽ là
0000 0000. 0000 0000. 0000 0111. 1111 1111

check 8 bits của octet đầu, 8 bits của octet thứ hai, 3 bits đầu tiên của octet thứ ba

10011110.00010000.000_00010.00000000 -> 158.16.2.0
00000000.00000000.000_00111.11111111 -> 0.0.7.255
(3bits đầu của octect thứ ba)
=>
0 0010 -----> 2
0 0011
0 0100
0 0110
......
0 0111 ----->7

=> 158.16.2.0 to 158.16.7.0


Như bạn đã phân tích wildcard mask 0.0.7.255 viết dưới dạng binary sẽ là:
0000 0000. 0000 0000. 0000 0_111. 1111 1111

Nghĩa là bạn phải check tất cả những bit của ip address match với bits 0 của wildcard. Tức là 8 bits của octet thứ 1, 8 bits của octet thứ hai, và 5 bits đầu của octet thứ 3.
Vậy thì
10011110.00010000.00000_010.00000000 -> 158.16.2.0
00000000.00000000.00000_111.11111111 -> 0.0.7.255

Có nghĩa là, bất cứ ip address nào đến router interface có apply ACL (86- như bạn ví dụ) và có phần đầu exactly match 10011110.00010000.00000_....sẽ bị deny.
00000_000.0 ----->158.16.0.0
00000_001.0
00000_010.0
00000_011.0
00000_100.0
00000_101.0
00000_110.0
00000_111.0 ------>158.16.7.0
Cho nên answer sẽ là 158.16.0.0 to 158.16.7.0 giống như đáp án của bạn ti_thoi đó.
Hi vọng là giúp được bạn há, xin lỗi vì reply chậm nha.
Cheers

:P Không sao đâu bạn giúp mình như vậy mình cảm ơn rất nhiều nhiều, nhờ Oz mà mình hiểu được rõ ràng hơn rồi đó (về làm thêm rồi sẽ hỏi tiếp nữa nha...).Mình có thêm một câu nữa nè ko biết phân tích sao cho dễ hiểu. Nhờ Oz và các bạn nha

Cho IP Addresses 144-147.216-223.34.0-255
RouterA(config)#access-list 86 permit 144.223.34.197 __________________

Hoàn thành dòng lệnh ở trên.