|
标准ACL和扩展ACL应用的位置图文详解
示意图: 本文仅代表个人愚见。 实现功能:本企业要求员工A网络不能访问财务X网络,但可以去FTP和ISP;CEO不受限。 第一个问:标准ACL放哪里? 假设1:标准ACL放在R1 假设2:标准ACL放在R2 假设1证明:标准ACL放在R1,因为是标准ACL,只能对源IP设置DENY,所以A不能去企业的FTP也不能去ISP上网了。弊端很明显,A只能访问局域网。优点:灭绝一切隐患^0^ 假设2证明:标准ACL放在R2,示意图: A通过T段,R2的DENY A网段被用在E1的OUT方向,E2放行,也就是说:标准ACL对源是A的情况,没有明确的Destination IP(DIP),只有在目的地IP是X网络的最后一跳才知道,所以最后一跳就是被动DIP。 标准ACL小结: 标准ACL是被动DIP,因此在R1有多出口的情况下,不适用的,只能用在最后一跳且指明方向性(尽量靠近目的)。 从本例“假设2证明”看到,如果最后一跳R2是多出口的情况下,标准ACL用的真是物尽其用了,但我们换个拓扑,示意图: 假设DENY A用在R2的E0口的IN方向,A网段数据包是到了R2的E0口才被DENY掉,但A穿越T内网的同时已经给T内网的路由器、交换机产生了处理器、带宽的无用消耗,这些称无用功。很明显这是标准ACL的最大弊端,为了解决这个问题,我们来看扩展ACL。 第二个问:扩展ACL放哪里? 扩展ACL包括SIP和DIP,放哪都行,但放最后一跳,会产生无用功,建议放第一跳路由器(尽量靠近源)。 总结: 标准ACL放最后一跳(尽量最近目的);扩展ACL放第一跳(尽量最近源)。 “尽量最近”是指本台路由器的接口。
| 
[复制链接]
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2012-12-16 15:39:34
置顶卡
喧嚣卡
变色卡
千斤顶
