pinos2k4 10 Geschrieben 22. August 2004 Melden Geschrieben 22. August 2004 Hallo... nachfolgend ein Screenshot einer e-Lab-Ausgabe aus dem CCNA Curriculum. LEider kann ich die CIsco-Lösung nicht nachvollziehen und würde gerne von euch wissen, was eure Lösung wäre mit Erklärung bitte! HOffe, dass das klappt mit dem Screeni...los geht: Zitieren
pinos2k4 10 Geschrieben 22. August 2004 Autor Melden Geschrieben 22. August 2004 mhm also klappt nicht als image aber bitte mit ziel speichern unter downloaden ;) Besten Dank im Voraus Zitieren
Blacky_24 10 Geschrieben 22. August 2004 Melden Geschrieben 22. August 2004 Grob ca. gibt es da vier Möglichkeiten die ACL aufzuhängen wovon allerdings zwei Möglichkeiten etwas "schwachsinnig" wären. Welche Lösung ist denn die "Cisco-Lösung" und warum kannst Du sie nicht nachvollziehen? Gruss Markus Zitieren
tom12 10 Geschrieben 22. August 2004 Melden Geschrieben 22. August 2004 Hallo, es ist empfohlen Standard ACLs immer so nahe wie möglich der destination anzuwenden. Extendet ACLs so nahe wie möglich an der source. In diesem Bsp. also : access-list 10 deny ip 172.16.1.0 0.0.0.255 access-list 10 permit ip any una an das ethernet interface vom "zentralen" Router in out binden: (config-if)#ip access-group 10 out Grüsse Thomas Zitieren
pinos2k4 10 Geschrieben 22. August 2004 Autor Melden Geschrieben 22. August 2004 also die cisco lösung ist an dem central router (router oben) auf der out über der ip adresse 192.168.1.96/27. Sprich an der Schnittstelle zum eigenen Netz des Central Routers! Und wie shcon oben erwähnt... standard ACLs nahe am Ziel und erweiterte an der Source. Klaaar. Aber erkläre mir bitte, wieso die ACL in diesem Fall nicht an der Schnittstelle des Central-Routers zum Netz 172.16.1.0 (sprich links vom BIld :-P) an der INbound gesetzt wird?!?! Zitieren
pinos2k4 10 Geschrieben 22. August 2004 Autor Melden Geschrieben 22. August 2004 @ tom12..du sagst es ja.. an der OUTbound der Ethernetschnittstelle des Central-Routers.. wieso lasse ich den Traffic denn in den router.... ähm,.. wie ich das jetzt schreibe hab ich es mir selbst erklärt :) *lach* setzte ich die ACL an der Seriellen Schnittstelle als Inbound kommt kein Traffic mehr ins 192.168.1.64 und 32 durch *lach* Najaaa.. man merkt halt.. ich bin in den Anfängen mit ACLs. :) Danke euch... Zitieren
pinos2k4 10 Geschrieben 22. August 2004 Autor Melden Geschrieben 22. August 2004 kann mir trotzdem jemand gut erklären den unterschied zwischen INbound und OUTbound.... ich mach da noch zu viele fehler. Irgendwelche Weblinks wo es gut erklärt wird oder so? Im Curriculum ist nicht ein Wort dazu richtig, sondern nur diese Übung! Zitieren
corc 10 Geschrieben 23. August 2004 Melden Geschrieben 23. August 2004 Hi, inbound ist der Traffic, der in Richtung Router fließt. Beispiel: Cisco 801 mit einem ISDN- und einem Ethernet-Interface: interface ethernet0 ip access-group 100 in ! access-list 100 deny ip any any betrachtet den Traffic, der aus dem LAN in Richtung Router geht, interface bri0 (oder dialer0) ip access-group 101 in ! access-list 101 deny ip any any betrachtet den Traffic, der aus dem WAN in Richtung Router geht. Der Traffic wird direkt auf dem jeweiligen Interface 'gestoppt' und nicht durch z. B. den Routingprozeß verarbeitet! outbound ist der Traffic, der vom Router weg fließt. interface ethernet0 ip access-group 102 out ! access-list 102 deny ip any any betrachtet den Traffic, der vom Router aus gesehen in Richtung WAN geht, interface bri0 (oder dialer0) ip access-group 103 out ! access-list 103 deny ip any any betrachtet den Traffic, der vom Router aus gesehen in Richtung LAN geht. Der Router hat hier aber bereits folgende Prozesse auf den Traffic angewendet und u. U. ziemlich viel Prozessorzeit verbraten, nur um festzustellen, daß der Traffic sowieso nicht raus darf: input rate limits input accounting policy routing routing redirect to web cache NAT inside to outside (local to global translation) crypto (check map and mark for encryption) Übersicht bei Cisco Gruß, corc Zitieren
tom12 10 Geschrieben 23. August 2004 Melden Geschrieben 23. August 2004 "Aber erkläre mir bitte, wieso die ACL in diesem Fall nicht an der Schnittstelle des Central-Routers zum Netz 172.16.1.0 (sprich links vom BIld :-P) an der INbound gesetzt wird?!?!" --> das ist leicht erklärt: Wenn du die ACL am Seriellen Interface der zentralen Routers setzst, dann kommt kein Traffic vom 172.16.1.0/24-er Netz auf irgendein Netz hinter dem Zentralen Router! Grüsse Zitieren
pinos2k4 10 Geschrieben 23. August 2004 Autor Melden Geschrieben 23. August 2004 @ corc: so hatte ich das auch verstanden. trotzdem versteh ich manchmal irgendwie gewisse entscheidungen nicht, aber ic hdenke, dass das einfach mal "mehr in fleisch und blut" übergehen muss. :) @Tom12: siehe oben. Das hatte ich dann auch erkannt *fg* BEsten Dank Leute! Zitieren
tom12 10 Geschrieben 23. August 2004 Melden Geschrieben 23. August 2004 Was für eine Lösung würdest du ansonsten vorschlagen, mit einer Standard ACL.....geht nicht!! Ev. kannst du am Eth des linken Routers eine ACL in OUT setzen! Mit einer extended/named ACL gibt es schon bessere Möglichkeiten. Grüsse Thomas Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.