Jump to content

Cisco ACL Frage!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

mal eine Frage für Cisco Profis ;-)

 

Was ist eigentlich der Unterschied zwischen den beiden folgenden Arten von access-listen auf Cisco Switchen:

 

interface GigabitEthernet 1/0

ip access-group 110 out

 

access-list 110 permit tcp host 10.10.1.1 any eq 80

access-list 110 permit udp host 10.10.1.1 any eq 53

 

und

 

interface GigabitEthernet 1/0

ip access-group Internet_access out

 

ip access-list extended Internet_access

permit tcp host 10.10.1.1 any eq 80

permit udp host 10.10.1.1 any eq 53

deny ip any any

 

 

wäre dankbar für eine ausführliche genaue Antwort!

 

Gruß

Link zu diesem Kommentar

gibt eigentlich keinen unterschied, außer das die erste eine number access-list ist und die zweite eine named access-list.

wenn ich mich noch recht entsinne kann man in der named acl die einträge noch ändern, in der numberd nicht.

in der wirkung unterscheiden sie sich nicht.

das implecit deny steht auch nach der ersten acl, wird aber im regelfall nicht angezeigt.

 

gruß

 

B@dNeo

Link zu diesem Kommentar

ok, d. h. im Prinzip gleiche Wirkung!

 

Gibt es eigentlich eine Rgel, die besagt, dass standard ACL sonah wie möglich an die Quelle und die extended ACL sonah wie möglich an die Source platziert werden soll oder umgekehrt???

 

Gibt es so eine Regel eigentlich und falls ja wie ist die richtige Reihenfolge?

welche Sinn steckt eigetlich dahinter?

 

 

anke & Gruß

Link zu diesem Kommentar
ok, d. h. im Prinzip gleiche Wirkung!

 

Gibt es eigentlich eine Rgel, die besagt, dass standard ACL sonah wie möglich an die Quelle und die extended ACL sonah wie möglich an die Source platziert werden soll oder umgekehrt???

 

Gibt es so eine Regel eigentlich und falls ja wie ist die richtige Reihenfolge?

welche Sinn steckt eigetlich dahinter?

 

 

anke & Gruß

Hallo

 

Standard ACL immer so nahe ans Ziel wie möglich.

Extended ACL immer so nahe an die Quelle wie möglich

 

weil ...

 

Die Standard ACL prüft nur die Quelladresse.

Da du dadurch aber keine feinheiten einstellen kannst, must du sie so nahe ans Ziel bringen, wie möglich.

Sonst blockst du ein Paket, das "dahinter" noch eine "Abzweigung" genommen hätte.

 

Die Extended prüft Quell und Zieladresse, sowie das Protokoll (TCP,UDP,...) und den Port (http,ftp,...)

Wenn du diese exended so nahe an die Quelle bringst, wie möglich, verringerst du den Traffic, da das Paket erst gar nicht weitergeleitet wird.

 

Gruß

 

Hannes

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...