Входящие / исходящие ACL?

3278
Youbecks003

Я понимаю основную разницу, но я нахожу это запутанным. Сначала один пакет обрабатывается, затем маршрутизируется и другие маршруты, а затем обрабатывается в ACL. Если я хочу сохранить ресурсы маршрутизатора, я должен всегда выбирать сначала (процесс, затем маршрут). Если пакет, безусловно, будет отброшен ACL, зачем мне тратить время на его маршрутизацию? Я знаю, что оба необходимы и практикуются в реальном мире, но я не могу представить себе какое-либо использование второго.

0

3 ответа на вопрос

1
Nithin Kumar

If we're talking about a cisco router,

acl inbound at an interface would mean 'let the acl process the packets coming into the router through that interface' i:e; while packets enter the router through that interface, but not on packets that exit through that interface.

acl outbound at an interface means 'apply the acl to packets exiting out of the router through that interface, but not on incoming packets.

Consider the scenario : enter image description here

Ping from 192.168.1.1 to 10.0.2.1

When CASE 1 is configured :

The ping request will not pass through R1's Fa0/1, because acl 55 is set to process outbound traffic, and the source address of the request matches the IP range specified in acl. Ping output will be:

Destination Host Unreachable

When CASE 2 is configured :

The ping request will reach 10.0.2.1, but the reply from 10.0.2.1 will be stopped at R1's Fa0/1 because the acl is set to process inbound traffic and the source address of the reply matches the IP range in acl. Ping output will be:

Request timed out

When CASE 3 is configured :

The ping will be successfull. The ping request will not be filtered at R1's Fa0/1 as the acl is only for inbound traffic. Although the ping reply will be considered at R1's Fa0/1 as it is inbound, it will pass through because the source address of the reply is not in the 10.0.2.0 0.0.0.255 range, as specified in the acl.

1
Praveen David Mathew

сценарий:

Создание списка доступа 12

access-list deny 192.168.12.0 255.255.255.0 access-list permit any

Применение его к интерфейсу VLAN 10

ip access-group 12 in

или же

ip access-group 12 out

Вот,

outbound = coming into the VLAN 10 (coming **out to** VLAN 10 from any other network )  inbound = coming from the VLAN 10 (coming **in** from VLAN 10 **into** any other network )

если вы используете исходящий, то он будет фильтровать входящий трафик.

используйте входящий, чтобы изолировать сеть от других сетей, так как он будет фильтровать все пакеты, поступающие из этой сети в другие сети

если вы создаете ACL 10 для запрета всей сети 192.168.10.0; и применить к входящей VLAN 10, тогда VLAN 10 не может связаться с другими сетями

0

ALC действительно применимы только к локальным учетным записям / группам пользователей и локальным встроенным учетным записям / группам, потому что он ищет только SID из своей собственной идентификации, то есть с локального компьютера. Вот почему, когда у вас есть файл, в котором есть запись ACL для пользователя, которого нет в базе данных SAM, он будет отображаться в списке ACL в виде строки SID, а не имени пользователя, и рядом с ним будет стоять красный крестик.

Вы можете добавлять других пользователей в базу данных активного каталога, однако они по-прежнему рассматриваются как локальные пользователи, это означает, что локальные компьютеры должны быть частью домена и должны быть доступны для связи через сеть, например, если для этого компьютера изменяется ALE.

Похожие вопросы