Eingehende / ausgehende ACLs?

3490
Youbecks003

Ich verstehe den grundlegenden Unterschied, aber ich finde es verwirrend. Ein Paket verarbeitet zuerst das Paket, dann das Routing und dann die anderen Routen und dann wird es in der ACL verarbeitet. Wenn ich Router-Ressourcen sparen will, sollte ich immer zuerst auswählen (Prozess dann weiterleiten). Wenn ein Paket auf jeden Fall von ACL verworfen wird, warum sollte ich Zeit damit verschwenden, es überhaupt zu routen? Ich weiß, dass beide in der realen Welt notwendig und geübt sind, aber ich kann mir keinen Einsatz von Second vorstellen.

0

3 Antworten auf die Frage

1
Nithin Kumar

Wenn wir über einen Cisco-Router sprechen,

acl inbound an einer Schnittstelle würde bedeuten, dass acl die Pakete verarbeiten kann, die über diese Schnittstelle in den Router gelangen. i: e; Während Pakete über diese Schnittstelle in den Router eingehen, jedoch nicht für Pakete, die über diese Schnittstelle austreten.

acl outbound an einer Schnittstelle bedeutet, dass 'acl auf Pakete angewendet wird, die über diese Schnittstelle aus dem Router austreten, nicht jedoch auf eingehende Pakete.

Betrachten Sie das Szenario:

Ping von 192.168.1.1 auf 10.0.2.1

Wenn CASE 1 konfiguriert ist:

Die Ping - Anfrage wird nicht durch Fa0 der R1 Pass / 1, weil acl 55 gesetzt verarbeiten abgehenden Datenverkehr und die Quelladresse der Anforderung entspricht den IP - Bereich in acl angegeben. Ping-Ausgabe wird sein:

Ziel-Host nicht erreichbar

Wenn CASE 2 konfiguriert ist:

Die Ping - Anfrage wird erreicht 10.0.2.1, aber die Antwort von 10.0.2.1 wird gestoppt bei R1 der Fa0 / 1, weil die acl gesetzt verarbeiten eingehenden Datenverkehr und die Quelladresse der Antwort entspricht den IP - Bereich in acl. Ping-Ausgabe wird sein:

Zeitüberschreitung der Anforderung

Wenn CASE 3 konfiguriert ist:

Der Ping wird erfolgreich sein. Die Ping-Anforderung wird bei R1 von Fa0 / 1 nicht gefiltert, da der ACL nur für eingehenden Datenverkehr gilt. Obwohl die Ping - Antwort wird an R1 den Fa0 / 1 in Betracht gezogen werden, wie es ist Inbound, wird es passieren, weil die Quelladresse der Antwort nicht in dem 10.0.2.0 0.0.0.255 Bereich ist, wie in der acl angegeben.

1
Praveen David Mathew

Szenario:

Zugriffsliste erstellen 12

access-list deny 192.168.12.0 255.255.255.0 access-list permit any

Anwendung auf das Schnittstellen-VLAN 10

ip access-group 12 in

oder

ip access-group 12 out

Hier,

outbound = coming into the VLAN 10 (coming **out to** VLAN 10 from any other network )  inbound = coming from the VLAN 10 (coming **in** from VLAN 10 **into** any other network )

Wenn Sie Outbound verwenden, wird der eingehende Datenverkehr gefiltert.

verwenden Sie Inbound, um das Netzwerk von anderen Netzwerken zu isolieren, da es alle Pakete filtert, die von diesem Netzwerk zu anderen Netzwerken gelangen

wenn Sie eine ACL 10 erstellen, um das gesamte 192.168.10.0-Netzwerk abzulehnen; Wenn Sie sich für eingehende VLAN 10 bewerben, kann VLAN 10 nicht mit anderen Netzwerken kommunizieren

0

Die ALCs gelten nur für lokale Benutzerkonten / -gruppen und lokale integrierte Konten / Gruppen, da sie nur nach SIDs aus ihrer eigenen Identität, dh vom lokalen Computer, suchen. Wenn Sie also über eine Datei mit einem ACL-Eintrag für einen Benutzer verfügen, der nicht in der SAM-Datenbank vorhanden ist, wird diese in der ACL-Liste als SID-String und nicht als Benutzername angezeigt. Außerdem wird ein rotes X angezeigt.

Sie können andere Benutzer zu einer Active Directory-Datenbank hinzufügen, sie werden jedoch immer noch wie lokale Benutzer behandelt. Dies bedeutet, dass die lokalen Computer Teil der Domäne sein müssen und über das Netzwerk erreichbar sein müssen, wenn z. B. ein ALE für diesen Computer geändert wird.

Verwandte Probleme