Author Topic: มีข้อสงสัย และไม่เข้าใจเกี่ยวกับ ACL Cisco มากๆครับ  (Read 14032 times)

0 Members และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

biologypanda

  • Layer 1
  • *
  • Posts: 45
  • จิตพิสัย +1/-0
เราจะรู้ได้ไงว่า จะใช่ in out ในคำสั่งเมื่อไร
เราจะรู้ได้ไงว่าอันไหนต้นทางอันไหนปลายทาง packet เข้ามาทางไหน เพราะ packet มันวิ่งเข้าวิ่งออกตลอดเวลา เลยไม่รู้ว่าไหนเข้าไหนออก


แล้วก็ไม่เข้าใจตรงที่คำว่า Standard , Extended ใช้ตอนไหน
stantdard ใช้ กับ In
Extended ใช้กับ out
ผมเข้าใจถูกไหม
รบกวนอธิบายอย่างถ่องแท้ให้หน่อยคครับ อ่านมาต่อหลายเวปแล้วไม่เข้าใจสักที ขอบคุณมากครับ
« Last Edit: 19 สิงหาคม , 2013, 05:52:33 pm by biologypanda »

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
จะทำ ACL ต้องแม่น flow อะ มองให้ออกถึง ขั้นตอนการทำ TCP/IP ในแต่ละ layer ตั้งแต่ l2 - l4 ลองกลับไปทบทวน ขั้นตอนการรับส่งของ TCP/IP ดูฮะ ถ้าแม่นแล้ว จะมองภาพ ACL ง่ายมากๆ
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

nanary

  • Layer 1
  • *
  • Posts: 4
  • จิตพิสัย +0/-0
  • ไทย
    • Email
สำหรับ ผมจะดูเรื่องของ traffic flow นะครับ ดูว่าต้องการให้ วิ่งเข้า หรือ วิ่งออก ขาของ router ครับ
ถ้าเข้า ก้อเป็น inbound ครับ
ถ้าออก ก้อเป็น outbound ครับ
ส่วน standard จะ permit or deny ได้แค่เบอร์ Network ครับ
Extend จะ permit or deny ในส่วนของ Protocol รวมถึง port ได้ครับ
nanary

ivynobita

  • Layer 1
  • *
  • Posts: 7
  • จิตพิสัย +0/-0
    • Email
ตามนั้นครับ ดู Flow แต่ถ้าเป็นไปได้ Standard ให้ใส่ out กับ interface ที่เชื่อมต่อกับปลายทางอยู่ เพราะมันจะตรวจแค่ source ถ้าใส่ตั้งแต่ต้นทาง มันอาจถูกทิ้งเร็วเกิน
ส่วน Extended ให้ใส่ไว้ in ของ interface ต้นทาง เพราะมันจะได้ถูกคัดออกแต่ทีแรก ลดภาระในการทำงานของ Router Hop ตัวอื่นไปด้วย

แต่ยังไงก็มันเปนแค่คำแนะนำครับ การใช้งานจริงต้องตัดสินใจการ Traffic Packet flow  [onion112]

biologypanda

  • Layer 1
  • *
  • Posts: 45
  • จิตพิสัย +1/-0
โจทย์ที่ผมได้มานะครับแบบนี้ ผมมีข้อสงสัย
ระยอง Rayong
- เข้าเครื่องแม่ข่าย web server ได้เท่านั้น
สงขลา SongKla
- เข้าเครื่องแม่ข่าย FTP และ Web  ได้เท่านั้น
เชียงใหม่ ChengMai
- เข้าเครื่องแม่ข่าย Web และ Telnet ได้เท่านั้น
-----------------------------------------
access-list 101 permit tcp 192.168.10.0 0.0.0.31 host 202.18.0.4 eq www
access-list 101 permit tcp 192.168.10.32 0.0.0.7 host 202.18.0.4 eq www
access-list 101 permit tcp 192.168.10.32 0.0.0.7 host 202.18.0.3 eq ftp
access-list 101 permit tcp 192.168.10.128 0.0.0.63 host 202.18.0.4 eq www
access-list 101 permit tcp 192.168.10.128 0.0.0.63 host 202.18.0.2 eq telnet
access-list 101 deny tcp any any

interface serial1/0
 ip address 10.10.10.1 255.255.255.0
 ip access-group 101 in

interface FastEthernet0/0
 ip address 202.18.0.1 255.255.255.0
 ip access-group 101 out

ผมทำการ in ที่ s0/0 PC ไม่สามารถ เข้า web หรือ ftpได้เลย
พอเปลี่ยนมาเป็น out ที่ f0/0 จึงสามารถเข้า web หรือ ftp ได้ปกติ
ผมไม่เข้าใจเหมือนกันว่าเพราะอะไร
รบกวนชี้แนะหน่อยครับ ขอบคุณครับ