Tweet
Khi config access-list tôi thấy có 2 lệnh
ip access-group 10 in
ip access-group 10 out
làm ơn chỉ giùm tôi 2 lệnh này khác nhau thế nào
ip access-group 10 in
ip access-group 10 out
làm ơn chỉ giùm tôi 2 lệnh này khác nhau thế nào
-
-
Re: ip access-group 10 in, ip access-group 10 out khác nhau thế nào
Chào bạn,
Hai câu lệnh này khác nhau ở hướng kiểm tra vào và ra interface của các gói tin.
ip access-group 10 in : kiểm tra các gói tin với access-list 10 theo hướng vào (hướng đi vào interface).
ip access-group 10 out: kiểm tra các gói tin với access-list 10 theo hướng ra (hướng đi ra khỏi interface).
Thân. -
nhưng các hướng đó có tác động thế nào đến việc filter packet.Mình thấy việc đặt in hay out thì kết quả filter vẫn như vậy.Comment
-
Đó là tuỳ thuộc vào mục đích thì đặt out hay in
Đặt in thì sẽ kiểm tra gói tin trước khi gói tin "được xử lý" và out theo hướng đi ra.
Sự khác nhau như đã nói là tuỳ thuộc vào mục đich sử dụng.
Chẳng hạn nếu bạn lọc gói tin dựa trên source thì nên đặt in, vì có thể có trường hợp nếu đặt out, bạn có thể để xổng phiên telnet xuyên qua router !
Be careful !
Tuy nhiên như tôi nhớ thì default, acl đặt theo chiều out, nếu bạn không manually xác định chiều acl.
Lý do thế nào ? Có ai có ý kiến gì không ?Comment
-
In thì kiểm tra ACL trước, bảng định tuyến sau. Out thì ngược lạiComment
-
anh Phi lên đây lúc nào mà nhanh vậy.Về lí thuyết thì đúng là in và out chỉ khác nhau về chiều lọc thôi chứ ko khac về kết quả lọc.Cisco thì khuyến cáo là nên dùng out trong các ACL.Tuy nhiên khi em hoi các thầy ở Hanoi*** thì thấy trả lời rất khác nhau,có người thì bảo là có ảnh hưởng đến kết quả lọc,có người lại bảo là không.Rôt cục cũng chẳng biết thế nào?Comment
-
RE: ip access-group 10 in, ip access-group 10 out khác nhau thế nào
theo tôi thì chiều IN hay chiều OUT trong ACL tùy thuộc vào hai yếu tố:
- Chiều của dòng traffic trên đó cần kiểm soát
- Vị trí đặt của ACL
Các bạn cần hiểu là với một yêu cầu thực tế, ta có thể viết một ACL theo chiều IN đáp ứng được yêu cầu của yêu cầu trên, nhưng chắc chắn ta cũng có thể viết một ACL theo chiều OUT áp đặt trên một cồng khác có tác dụng tương đương.
Tóm tắt cho ý tưởng của tôi: chiều IN hay OUT gì cũng được.The beautiful thing about learning is that no one can take it away from you. (B.B. King)Comment
-
RE: ip access-group 10 in, ip access-group 10 out khác nhau thế nào
Trong một router, lần lượt các quá trình xử lý gói tin là:
Interface Inbound-->ACL inbound--->Routing process--->ACL outbound-->Interface Outbound
Do đó, theo tôi nghĩ, tùy trường hợp mà mình sẽ sử dụng inbound hay outbound, tác dụng filter thì như nhau nhưng có thể khác nhau về xử lý của CPU.
Theo lý thuyết, với accesslist standard thì càng gần đích càng tốt, với extend thì càng gần nguồn càng tốt.Trăm năm bia đá cũng mòn
Bia chai cũng bể, chỉ còn bia ôm!Comment
-
RE: ip access-group 10 in, ip access-group 10 out khác nhau thế nào
Hi ham_tim_hieu!
Bạn có thể hiểu acl in or out như vầy:
- tại Tân Sơn Nhất airport, chỉ cho phép người quốc tịch nước ngoài đi qua cổng S0 đến tuyến quốc tế đi USA; Ngược lại, đi các tuyến nội địa thì qua cổng E0.
- tại New York airport, mọi người được phép đi vào cổng S0, nhưng chỉ những người quốc tịch Mỹ mới được phép đi qua cổng E0.
Như vậy, bạn sẽ thấy hoạt động của router giống như một airport, việc đặt acl tại in or out là tùy thuộc vào mục tiêu quản lý, cũng như hạn chế việc transport một cách vô ích (chẳn hạn, một người việtnam đến tận New York thì mới bị lệnh cấm không được đi qua cổng E0 - It's a free tour!)....### There\'s a will, there\'s a way ###Comment
Comment