Typer av ACL | Standard ACL konfiguration
För optimal effektivitet bör varje ACL placeras strategiskt i nätverket.
Illustrationen visar var Standard- och Extended ACL:er bör placeras i ett företagsnätverk. Anta att målet är att förhindra att trafik från nätverket 192.168.10.0/24 når nätverket 192.168.30.0/24.
Grundläggande riktlinjer för ACL-placering
- Standard ACL:
- Bör placeras så nära destinationen som möjligt.
- Om en standard ACL placeras vid källan, kommer den endast att filtrera trafik baserat på source-adressen, utan hänsyn till destinationen. Detta kan leda till oavsiktlig blockering av legitima paket som borde tillåtas till vissa destinationer.
- Extended ACL:
- Bör placeras så nära källan som möjligt.
- Förhindrar att oönskad trafik sprids genom nätverket, vilket minskar belastningen på nätverksresurser.
Andra faktorer som påverkar ACL-placering
| Faktor | Förklaring |
|---|---|
| Nätverksprestanda | Placering av ACL kan påverka routing, särskilt i stora nätverk. |
| Säkerhetskrav | Striktare policyer kan kräva att vissa ACL placeras närmare källan för att stoppa skadlig trafik tidigt. |
| Administrativ hantering | Placeringen av ACL bör ta hänsyn till enkelhet i underhåll och felsökning. |
| Resursförbrukning | Att filtrera trafik nära källan kan minska belastningen på mellanliggande enheter och länkar. |
Placering av Standard ACL
Enligt riktlinjerna för ACL-placering bör en standard ACL placeras så nära destinationen som möjligt för att minimera oönskade effekter på nätverkstrafiken.
I illustrationen vill administratören förhindra att trafik från nätverket 192.168.10.0/24 når nätverket 192.168.30.0/24.
Enligt de grundläggande riktlinjerna skulle administratören placera en standard ACL på router R3. Det finns två möjliga interface på R3 där ACL kan tillämpas:
-
R3 S0/1/1 (Inbound)
- En standard ACL kan tillämpas inåtgående på R3:s
S0/1/1-interface för att blockera trafik från192.168.10.0/24. - Problem: Detta skulle även blockera trafik till
192.168.31.0/24, vilket inte är önskvärt. - Slutsats: Detta är inte en optimal placering för en standard ACL.
- En standard ACL kan tillämpas inåtgående på R3:s
-
R3 G0/0/0 (Outbound)
- En standard ACL kan tillämpas utåtgående på R3:s
G0/0/0-interface. - Fördelar: Påverkar endast trafik som är på väg till
192.168.30.0/24, utan att påverka andra nätverk som nås via R3. - Slutsats: Detta är den bästa placeringen för en standard ACL enligt riktlinjerna.
- En standard ACL kan tillämpas utåtgående på R3:s
Placering av Extended ACL
En extended ACL bör placeras så nära källan som möjligt för att förhindra oönskad trafik innan den sprids genom nätverket. Dock kan en organisation endast placera ACL på enheter som den har kontroll över. Därför måste placeringen anpassas utifrån organisationens kontrollområde.
I illustrationen vill Företag A förhindra Telnet- och FTP-trafik till Företag B:s nätverk 192.168.30.0/24 från företagets eget nätverk 192.168.11.0/24, samtidigt som all annan trafik tillåts.
Det finns flera sätt att uppnå detta mål:
- En extended ACL på R3 skulle kunna blockera oönskad trafik, men administratören har inte kontroll över R3.
- Dessutom skulle denna lösning innebära att oönskad trafik passerar hela nätverket bara för att nekas vid destinationen, vilket är ineffektivt.
- Lösningen är att placera en extended ACL på R1, där både source- och destinationsadresser anges.
Möjliga placeringar på R1:
-
R1 S0/1/0 (Outbound)
- En extended ACL kan tillämpas utåtgående på
S0/1/0. - Problem: Denna ACL skulle påverka alla paket som lämnar R1, inklusive trafik från
192.168.10.0/24. - Slutsats: Inte en optimal placering eftersom den påverkar mer än nödvändigt.
- En extended ACL kan tillämpas utåtgående på
-
R1 G0/0/1 (Inbound)
- En extended ACL kan tillämpas inåtgående på
G0/0/1. - Fördelar: Endast trafik från
192.168.11.0/24behandlas av ACL. - Slutsats: Detta är den bästa placeringen, eftersom den endast filtrerar den trafik som behöver begränsas.
- En extended ACL kan tillämpas inåtgående på
Sammanfattning
Standard ACL filtrerar endast source-adressen, medan Extended ACL kan filtrera både source och destinationsadress samt protokoll och portar.
Numrerade ACL används med specifika nummerintervall där Standard ACL ligger inom 1–99 och 1300–1999, medan Extended ACL ligger inom 100–199 och 2000–2699.
Namngivna ACL rekommenderas för tydlighet och skapas med kommandot:
ip access-list [standard | extended] <namn>.
Standard ACL placeras nära destinationen för att undvika oönskad blockering av trafik med samma source-adress men olika destinationer. Extended ACL placeras nära källan för att stoppa oönskad trafik så tidigt som möjligt och minska belastningen på nätverket.
Rätt placering av ACL förbättrar säkerhet, prestanda och nätverkseffektivitet.