Placering av ACL

Typer av ACL      |      Standard ACL konfiguration


För optimal effektivitet bör varje ACL placeras strategiskt i nätverket.

Illustrationen visar var Standard- och Extended ACL:er bör placeras i ett företagsnätverk. Anta att målet är att förhindra att trafik från nätverket 192.168.10.0/24 når nätverket 192.168.30.0/24.

Grundläggande riktlinjer för ACL-placering

  • Standard ACL:
    • Bör placeras så nära destinationen som möjligt.
    • Om en standard ACL placeras vid källan, kommer den endast att filtrera trafik baserat på source-adressen, utan hänsyn till destinationen. Detta kan leda till oavsiktlig blockering av legitima paket som borde tillåtas till vissa destinationer.
  • Extended ACL:
    • Bör placeras så nära källan som möjligt.
    • Förhindrar att oönskad trafik sprids genom nätverket, vilket minskar belastningen på nätverksresurser.

Andra faktorer som påverkar ACL-placering

Faktor Förklaring
Nätverksprestanda Placering av ACL kan påverka routing, särskilt i stora nätverk.
Säkerhetskrav Striktare policyer kan kräva att vissa ACL placeras närmare källan för att stoppa skadlig trafik tidigt.
Administrativ hantering Placeringen av ACL bör ta hänsyn till enkelhet i underhåll och felsökning.
Resursförbrukning Att filtrera trafik nära källan kan minska belastningen på mellanliggande enheter och länkar.

Placering av Standard ACL

Enligt riktlinjerna för ACL-placering bör en standard ACL placeras så nära destinationen som möjligt för att minimera oönskade effekter på nätverkstrafiken.

I illustrationen vill administratören förhindra att trafik från nätverket 192.168.10.0/24 når nätverket 192.168.30.0/24.

Enligt de grundläggande riktlinjerna skulle administratören placera en standard ACLrouter R3. Det finns två möjliga interface på R3 där ACL kan tillämpas:

  1. R3 S0/1/1 (Inbound)

    • En standard ACL kan tillämpas inåtgående på R3:s S0/1/1-interface för att blockera trafik från 192.168.10.0/24.
    • Problem: Detta skulle även blockera trafik till 192.168.31.0/24, vilket inte är önskvärt.
    • Slutsats: Detta är inte en optimal placering för en standard ACL.
  2. R3 G0/0/0 (Outbound)

    • En standard ACL kan tillämpas utåtgående på R3:s G0/0/0-interface.
    • Fördelar: Påverkar endast trafik som är på väg till 192.168.30.0/24, utan att påverka andra nätverk som nås via R3.
    • Slutsats: Detta är den bästa placeringen för en standard ACL enligt riktlinjerna.

Placering av Extended ACL

En extended ACL bör placeras så nära källan som möjligt för att förhindra oönskad trafik innan den sprids genom nätverket. Dock kan en organisation endast placera ACL på enheter som den har kontroll över. Därför måste placeringen anpassas utifrån organisationens kontrollområde.

I illustrationen vill Företag A förhindra Telnet- och FTP-trafik till Företag B:s nätverk 192.168.30.0/24 från företagets eget nätverk 192.168.11.0/24, samtidigt som all annan trafik tillåts.

Det finns flera sätt att uppnå detta mål:

  • En extended ACL på R3 skulle kunna blockera oönskad trafik, men administratören har inte kontroll över R3.
  • Dessutom skulle denna lösning innebära att oönskad trafik passerar hela nätverket bara för att nekas vid destinationen, vilket är ineffektivt.
  • Lösningen är att placera en extended ACL på R1, där både source- och destinationsadresser anges.

Möjliga placeringar på R1:

  1. R1 S0/1/0 (Outbound)

    • En extended ACL kan tillämpas utåtgåendeS0/1/0.
    • Problem: Denna ACL skulle påverka alla paket som lämnar R1, inklusive trafik från 192.168.10.0/24.
    • Slutsats: Inte en optimal placering eftersom den påverkar mer än nödvändigt.
  2. R1 G0/0/1 (Inbound)

    • En extended ACL kan tillämpas inåtgåendeG0/0/1.
    • Fördelar: Endast trafik från 192.168.11.0/24 behandlas av ACL.
    • Slutsats: Detta är den bästa placeringen, eftersom den endast filtrerar den trafik som behöver begränsas.

Sammanfattning

Standard ACL filtrerar endast source-adressen, medan Extended ACL kan filtrera både source och destinationsadress samt protokoll och portar.

Numrerade ACL används med specifika nummerintervall där Standard ACL ligger inom 1–99 och 1300–1999, medan Extended ACL ligger inom 100–199 och 2000–2699.

Namngivna ACL rekommenderas för tydlighet och skapas med kommandot:

ip access-list [standard | extended] <namn>.

Standard ACL placeras nära destinationen för att undvika oönskad blockering av trafik med samma source-adress men olika destinationer. Extended ACL placeras nära källan för att stoppa oönskad trafik så tidigt som möjligt och minska belastningen på nätverket.

Rätt placering av ACL förbättrar säkerhet, prestanda och nätverkseffektivitet.


Typer av ACL      |      Standard ACL konfiguration