Announcement

**hoanggialiem** · 21-04-2010, 04:21 PM

Nếu bạn áp theo chiều IN thì gói tin nếu match access-list của bạn, nó sẽ drop trước.
Nếu bạn áp theo chiều OUT thì gói tin nó sẽ được Route ra outgoing interface, sau đó đụng access-list thì nó mới drop.
Như vậy trong tình huống này, sử dụng chiều IN sẽ đỡ tốn performance cho Router hơn.

Tuy nhiên nếu như có đến 2 cái OUTSIDE đang kết nối vào SW của bạn. Thì trường hợp này áp theo chiều OUT sẽ có lợi hơn. Do bạn chỉ cần áp 1 access-list lên interface Vlan. Nếu sử dụng chiều IN thì sẽ phải áp lên 2 interface trên SW của bạn.

**thuantp** · 21-04-2010, 04:49 PM

Thanks PhuongHoang,
- Vấn đề áp ACL Interface nào cho có lợi mình thì mình hiểu.
- Mình chỉ thắc mắc tại sao cùng 1 kịch bản ACL, áp trên VLAN theo chiều OUT (Nếu theo chiều IN thi không tác dụng). Nhưng khi áp trên Gi0/1 thì phải áp theo chiều IN (OUT không tác dụng).
- Trên nguyên tắc thì từ OUTSIDE ping vào, gói tin sẽ đi vào (IN) Gi0/1 --> (IN) VLAN 10 ---> HOST. Chỗ (IN) VLAN là cái mình ko hiểu. Mong bạn chỉ điểm dùm mình

Thanks,

**hoanggialiem** · 21-04-2010, 06:03 PM

Bạn hãy hình dung như thế này để bạn thấy rõ hơn về hình ảnh của access-list:

ACL - Interface - RoutingTable - Interface - ACL

Như vậy khi một gói tin chạy vào Router thì nó sẽ đụng ACL trước.
Nhưng khi qua bản routing nó phải chạy ra ngoài interface trước rồi mới đụng ACL

Hy vọng với hình ảnh trên bạn hiểu được khi nào IN khi nào OUT

**Mr.LeVy** · 21-04-2010, 08:29 PM

Originally posted by thuantp View Post

Mình có thắc mắc về sự khác nhau khi áp dụng 1 ACL theo chiều IN/OUT như sau:

OUTSIDE --------(Gi0/1)Switch--------VLAN10 (123.234.10.1/26)

Yêu cầu:
1/ Cấm IP bên ngoài ping host 123.234.10.2
IP Access-list extended CAMPING
deny icmp any host 123.234.10.2 echo
permit ip any any

2/ Áp dụng ACL: có 2 lựa chọn như sau:
a/ Đặt ACL trên VLAN10
interface vlan 10
ip access-group CAMPING out

b/ Đặt ACL trên Gi0/1
interface Gi0/1
ip access-group CAMPING in

Cả 2 cách trên đều cấm được, nhưng mình thắc mắc là sự khác nhau giữa chiều IN - OUT khi đặt ACL trên VLAN và Gi0/1. Anh nào rành về ACL xin giải thích dùm.

Thanks!

Hiểu như thế này cho đơn giản nè

OUTSIDE --------(Gi0/1)Switch--------VLAN10 (123.234.10.1/26)
----------------------------------------------------------------->

Theo chiều mũi tên (cũng là chiều flux traffic), bạn nhào vào SW (trên Gi0/1) rồi bạn ra khỏi SW trên VLAN 10.

Như vậy có nghĩa là bạn chặn (ACL) trên Gi0/1 (IN) hay VLAN 10 (OUT) về cơ bản là giống nhau (chú ý về cơ bản thôi nhé)

Nếu theo chiều như vậy mà bạn chặn OUT trên Gi0/1 hay IN trên VLAN10 thì có tác dụng gì ko ?

**thuantp** · 21-04-2010, 09:25 PM

Chân thành cảm ơn LamPhuongHoang & Mr.LeVy đã nhiệt tình
- Mình đã nắm được cơ bản IN / OUT. Mình sẽ minh họa theo hình sau:

- Câu hỏi của Mr.Levy ko biết là có mẹo hay không, nhưng cũng xin trả lời là không có tác dụng (theo kịch bản trên). Nhưng sẽ có tác dụng khi đổi chiều cấm ngược lại, tức là cấm Host --> Outside

Mong các anh chỉ điểm thêm!

**hoanggialiem** · 22-04-2010, 12:33 AM

Bạn thuantp dường như đã clear vấn đề này rồi đó.
Chúc bạn nghiên cứu tốt nhé

**them huyen** · 22-04-2010, 09:39 AM

Originally posted by thuantp View Post

Câu hỏi của Mr.Levy ko biết là có mẹo hay không,...

Theo toi thay thi Mr.Levy khong dat cau hoi nay de hoi thuantp, ma dung y cua Mr.Levy la muon chung ta nen suy nghi tinh logic cua van de.
Neu chi don thuan la muon tim hieu ve su khac nhau thi co le Mr.Levy & LPH da co 1 su giai thich thoa dang.
Neu de ap dung tren thuc te thi nen ap dung nguyen tac can ban cho ACL la "standard acl as close to the destination as possible, extended ACL close to the source". Trong truong nay, chung ta nen chan tu cong giga vi no dat gan voi ping sources.

**prepro** · 22-04-2010, 10:33 AM

:D, tớ đang hiểu về vấn đề in-out này, tự nhiên nhìn vào cái hình bạn Thuantp vẽ, cảm thấy rối rắm quá.
đang nói về VLAN, tự nhiên vẽ cổng Fast Ethernet :D

Hiểu cơ bản là như thế này : IN hay Out thì phải có hệ quy chiếu. (vào [IN] cái gì ? ra [out] cái gì ?) Điểm gốc của hệ quy chiếu ở đâu ? --> là thiết bị (router hay Switch). IN là vào Router, OUT là ra ROUTER. IN/OUT trên cổng giao tiếp nào của Router thì apply ACL trên interface đó.

Như vậy đứng từ Router thì sẽ thấy traffic đi vào (IN) Gi0/1 & đi ra (OUT) VLAN10.
như vậy mình có thể áp dụng ACL vào hướng IN của Gi0/1 hoặc hướng ra (OUT) của VLAN 10.

p/s: Đừng nhầm lẫn là IN VLAN 10 nghen. traffic đi vào VLAN 10 rồi đi ra VLAN 10 tới host. Phần traffic đi vào VLAN 10 trong trường hợp này là nội bộ của router. mà việc nội bộ thì để nội bộ router giải quyết (nói đùa thôi ) :D .
Câu lệnh ACL trường này kg apply cho nội bộ router được nên phải apply hướng đi ra (out) VLAN10 để đến host.

Announcement

Hỏi về sự khác nhau khi apply ACL trên VLAN va Port Gigabit

Hỏi về sự khác nhau khi apply ACL trên VLAN va Port Gigabit

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment