Protokoll

Cisco ACL In- und Out-Fragen

Coskun Add Comment
Schalten Sie die besten Preise mit vorrätigen, versandfertigen Produkten frei

F1: Wann soll ACL in oder out angewendet werden? Es fällt mir schwer zu verstehen, wann ich eine ACL anwenden soll in oder aus der Schnittstelle. Wann möchte ich die ACL auf IN und wann auf OUT anwenden?

In-wenn Sie Datenverkehr ausführen, der über eine ACL in die Schnittstelle gelangt.
Aus-wenn Sie Datenverkehr ausführen, der die Schnittstelle über eine ACL verlässt.

Wenn Sie eingehende Pakete filtern möchten, verwenden Sie die in; und wenn Sie Pakete filtern möchten, die herauskommen, verwenden Sie die aus.
Nehmen wir zum Beispiel an, Sie haben eine Topologie wie diese:
PC0——[Router]–Internet
————|
————|
———–PC1
Wenn Sie Pakete filtern möchten, die aus dem Internet kommen, werden Sie verwenden in auf der dem Internet zugewandten Schnittstelle des Routers, da die Pakete aus dem Internet in den Router gelangen, weshalb Sie ihn verwenden in.

Wenn Sie nicht möchten, dass PC0 auf das Internet zugreift, aber auf PC1 zugreifen soll, das sich in einem anderen Subnetz befindet, können Sie die verwenden aus auf der dem Internet zugewandten Schnittstelle des Routers. Jedes Mal, wenn PC0 versucht, ins Internet zu gehen, wird es gefiltert, aber wenn PC0 versucht, auf PC1 zuzugreifen, ist es in Ordnung.

Aber sehen Sie, das ist, wo ich ein wenig verwirrt bin. Möchte ich nicht die ACL zum Blockieren von PC0 vom Internet auf IN auf der Router-Schnittstelle für PC0. Auf diese Weise würde die ACL Rechenleistung sparen? Spielt es eine Rolle, ob die ACL Standard oder Extended ist?

Ich denke, Sie würden die gleiche oder mehr Verarbeitung benötigen, wenn die Out-Regel auf der PC0-Seite wäre. Wenden Sie die Regel immer auf die Schnittstelle an, die dem „gesteuerten“ zugewandt ist, wenn Sie nicht möchten, dass PC1 mit PC0 kommuniziert, dann wäre die Out-Regel auf der Seite von PC0.

Wenn die Daten aus dem Internet nach PC0 wandern, fließen sie (im Beispielbild) von rechts nach links. Wenn es auf den Router trifft, fließt es am Port ganz rechts am Router IN und am linken Port wieder OUT.

Ähnlich, wenn Daten von PC0 ins Internet fließen, fließen sie von links nach rechts; IN den ganz linken Port des Routers und OUT den ganz rechten Port. In Bezug darauf, wo Sie eine ACL platzieren möchten; das hängt davon ab, ob es sich um eine Standard- oder erweiterte ACL handelt. Ich weiß nicht, ob Sie dieses Material schon studiert haben, aber wenn Sie es einmal getan haben, ist es sinnvoller, WO Sie es anwenden möchten.

Q2: Klärung der Ein-/Ausgänge der Zugriffsliste. Ich habe eine klärende Frage bezüglich: Platzieren einer Zugriffsliste in oder aus einer Schnittstelle.
Nehmen wir an, um es einfach zu halten, dass ich diese Topologie habe:
PC1—>E0Router1E1<—-PC2

Wenn ich eine Zugriffsliste anwenden möchte, die alle Pakete mit Quelle verweigert, fügen Sie PC1 zu PC2 hinzu, kann ich dies auf zwei Arten tun:
Platzieren Sie einen IN-Zugriffsgruppenbefehl auf E0 oder einen OUT-Zugriffsgruppenbefehl auf E1?

Wäre der von Cisco empfohlene Weg, es auf E1 zu legen, da es dem Ziel am nächsten liegt?

Dies bezieht sich auf Standard-ACLs, aber ich gehe davon aus, dass dies auch bei erweiterten ACLs auftauchen wird.

  • Standard-ACLs sollten so nah wie möglich am Ziel platziert werden, damit sie keinen Verkehr blockieren, den Sie nicht blockieren möchten.
  • Erweiterte ACLs sollte so nah wie möglich an der Quelle platziert werden.

Arten von IP-ACLs

Es gibt nur zwei verschiedene Möglichkeiten, dasselbe zu sagen, aber es gibt eine bewährte Methode (in Standard nahe am Ziel und in erweiterter Umgebung nahe an der Quelle). Ich dachte, es gäbe einen geheimen Algorithmus, den Sie ausführen müssten, um festzustellen, welcher es war.

Wie oben gesagt, möchten Sie _erweiterte_ ACLs immer so nah wie möglich an der Quelle haben. Der Grund dafür ist, dass der Datenverkehr unterbrochen wird, *bevor* die CPU Zyklen damit verbringen muss, das Paket zu betrachten und zu beurteilen, wohin es gesendet werden soll. …

F3: Cisco ACL in/out-Frage. Beim Arbeiten mit Cisco ACLs werden die Zugriffsgruppen auf einzelne Schnittstellen angewendet.
int s0
Zugang – Gruppe 101 in
Zugang – Gruppe 102 aus

Mein Verständnis ist, dass „in“ immer Verkehr zum Router geht und „out“ immer Verkehr vom Router weggeht. So was:
in = verlassen out = das Unternehmen verlassen
privates Netzwerk, das ins Internet geht
—————-> ———————–>
———-
e0 | Router | s0
———-
out = das Eintreten in das = das Eintreten in das
privates Netzwerkunternehmen aus dem Internet
<————– <———————-

Pakete aus dem internen Netz ins Internet sind also „in“ auf e0 und „out“ auf s0.

Sind meine Annahmen von in/out richtig?

Können Sie den Eingang/Ausgang auch wie folgt zwischen Schnittstellen aufteilen:
int s0
Zugriffsgruppe 101 in
int e0
Zugriffsgruppe 102 in

Oder sollten sie auf dieselbe Schnittstelle angewendet werden?

Da es auf die Schnittstelle angewendet wird, müssen Sie es so betrachten, nicht etwa „auf den Router“ …

Also aus Sicht der Schnittstelle:
int s0
Zugriffsgruppe 101 in
Zugriffsgruppe 102 aus

Alles, was die Schnittstelle s0 verlässt, wird von 102 abgedeckt, alles, was die Schnittstelle s0 betritt, wird von 101 abgedeckt. Wo Sie die ACL platzieren, liegt wirklich bei Ihnen. Ich habe gesehen, dass es auf beide Arten gemacht wurde (sorry, musste diesen Teil bearbeiten, muss daran denken, eine Tasse Kaffee zu trinken, bevor ich Beiträge lese/beantworte), im Allgemeinen mit der Überlegung, zu vermeiden, dass Pakete durch den Router geleitet werden, nur um sie so zu verwerfen, wie sie sind versuchen, die Schnittstelle zu verlassen…

In der Tat versuchen Sie normalerweise, den Datenverkehr so ​​nah wie möglich an den Rand zu lenken.

Ein Grund für das Herausfiltern einer Schnittstelle könnte jedoch sein, wenn Sie einen Router mit mehreren Schnittstellen haben und die Zone hinter einer dieser Schnittstellen vor allen anderen Schnittstellen sichern (standardmäßig verweigern) möchten. Dann ist es viel einfacher, auf dieser Schnittstelle „irgendeine IP zu verweigern“, als zu versuchen, auf allen anderen Schnittstellen basierend auf dem Ziel zu verweigern …

Standard-ACL sollte in der Nähe des Ziels platziert werden. Erweiterte ACL sollte in der Nähe der Quelle platziert werden, die Ihr Leitfaden sein sollte, wenn Sie über die Platzierung von ACLs nachdenken, die andere hängt wirklich von Ihren Wünschen ab. Oh, und Sie sollten es nicht aus der Router-Perspektive betrachten, nehmen Sie die Schnittstellen-Perspektive, wenn Sie sagen, dass darin eingehender Datenverkehr auf dieser Schnittstelle ausgeht, bedeutet ausgehender Datenverkehr auf dieser Schnittstelle, also auf jeder Schnittstelle, die Sie ein- und ausgehen können …

Weitere verwandte Cisco- und Networking-Rezensionen: https://blog.router-switch.com/category/networking-2/ und https://blog.router-switch.com/category/hardware/

Leave A Comment

Recommended Posts