Я понимаю основную разницу, но я нахожу это запутанным. Сначала один пакет обрабатывается, затем маршрутизируется и другие маршруты, а затем обрабатывается в ACL. Если я хочу сохранить ресурсы маршрутизатора, я должен всегда выбирать сначала (процесс, затем маршрут). Если пакет, безусловно, будет отброшен ACL, зачем мне тратить время на его маршрутизацию? Я знаю, что оба необходимы и практикуются в реальном мире, но я не могу представить себе какое-либо использование второго.
3 ответа
1
сценарий:
Создание списка доступа 12
access-list deny 192.168.12.0 255.255.255.0
access-list permit any
Применение его к интерфейсу VLAN 10
ip access-group 12 in
или же
ip access-group 12 out
Вот,
outbound = coming into the VLAN 10 (coming **out to** VLAN 10 from any other network ) inbound = coming from the VLAN 10 (coming **in** from VLAN 10 **into** any other network )
если вы используете исходящий, то он будет фильтровать входящий трафик.
используйте входящий, чтобы изолировать сеть от других сетей, так как он будет фильтровать все пакеты, поступающие из этой сети в другие сети
если вы создаете ACL 10 для запрета всей сети 192.168.10.0; и применить к входящей VLAN 10, тогда VLAN 10 не может связаться с другими сетями
1
Если мы говорим о маршрутизаторе Cisco,
входящий acl на интерфейсе будет означать «пусть acl обрабатывает пакеты, поступающие в маршрутизатор через этот интерфейс» i:e; в то время как пакеты поступают в маршрутизатор через этот интерфейс, но не в пакетах, которые выходят через этот интерфейс.
Исходящий acl на интерфейсе означает «применить acl к пакетам, выходящим из маршрутизатора через этот интерфейс, но не к входящим пакетам.
Рассмотрим сценарий:
Пинг от 192.168.1.1 до 10.0.2.1
Когда СЛУЧАЙ 1 настроен:
Запрос ping не будет проходить через Fa0/1 R1, поскольку acl 55 настроен на обработку исходящего трафика, а адрес источника запроса соответствует диапазону IP, указанному в acl. Выход пинга будет:
Хост назначения недоступен
Когда CASE 2 настроен:
Запрос пинг достигнет 10.0.2.1, но ответ от 10.0.2.1 будет остановлен при R1 - х Fa0/1 , поскольку списки доступа устанавливается для обработки входящего трафика и адрес источника ответа соответствует диапазону IP в ACL. Выход пинга будет:
Истекло время запроса
Когда CASE 3 настроен:
Пинг будет успешным. Запрос ping не будет фильтроваться в Fa0/1 R1, поскольку acl предназначен только для входящего трафика. Хотя ответ на пинг будет рассмотрен в Fa0/1 R1, поскольку он является входящим, он пройдет через него, потому что адрес источника ответа не находится в диапазоне 10.0.2.0 0.0.0.255, как указано в acl.
0
ALC действительно применимы только к локальным учетным записям / группам пользователей и локальным встроенным учетным записям / группам, потому что он ищет только SID из своей собственной идентификации, то есть с локального компьютера. Вот почему, когда у вас есть файл, в котором есть запись ACL для пользователя, которого нет в базе данных SAM, он будет отображаться в списке ACL в виде строки SID, а не имени пользователя, и рядом с ним будет стоять красный крестик.
Вы можете добавлять других пользователей в базу данных активного каталога, однако они по-прежнему рассматриваются как локальные пользователи, это означает, что локальные компьютеры должны быть частью домена и должны быть доступны для связи через сеть, например, если для этого компьютера изменяется ALE.