Расположение ACL на маршрутизаторе или коммутаторе в локальной сети кампуса

nishprit

Дорогие друзья Я занимаюсь проектированием и настройкой локальной сети кампуса для самостоятельного обучения. Схема сети кампуса прилагается. Мой вопрос заключается в том, где мне следует настроить ACL, чтобы заблокировать доступ VLAN40 к серверу 1 (S1). Я реализовал SVI для маршрутизации между VLAN на обоих коммутаторах L3 на уровне распределения. Кроме того, я также настроил HSRP на обоих коммутаторах распределения и выполняю балансировку нагрузки (DLSW1 для VLAN 10 и 20 и DLSW2 для VLAN 30 и 40). Я сомневаюсь, следует ли мне настраивать ACL как на уровне распределения, так и на обоих коммутаторах уровня распределения, и должны ли все настройки ACL быть одинаковыми на обоих коммутаторах уровня распределения? Пожалуйста, подскажите.

Giuseppe Larosa

Здравствуйте,
@nishprit
, >> Я сомневаюсь, следует ли настраивать ACL как на уровне распределения, так и на обоих коммутаторах уровня распределения, и должны ли все настройки ACL быть одинаковыми на обоих коммутаторах уровня распределения? Да, ACL должны применяться на обоих коммутаторах распределения, потому что у вас оба находятся в одном и том же наборе VLAN/подсетей, например, на SVI vlan 40 направление входящее, и ACL одинаковы. Пример: Предположим, что IP-адрес S1 — 10.10.10.101, а подсеть vlan 40 — 10.10.40.0/24. ACL может быть следующим: access-list 101 deny ip 10.10.40.0 0.0.0.255 host 10.10.10.101 access-list 101 permit ip 10.10.40.0 0.0.0.255 any int vlan 40 access-group 101 in Надеюсь, это поможет Джузеппе

balaji.bandi

Положение списка контроля доступа (ACL) в локальной сети кампуса зависит от конкретной цели безопасности, типа ACL и от того, используете ли вы маршрутизатор или коммутатор уровня 3 в качестве шлюза по умолчанию. В современных кампусных сетях для реализации ACL используются как маршрутизаторы, так и коммутаторы уровня 3, но руководящий принцип остается прежним:
как
можно раньше фильтровать нежелательный трафик. Мы еще не видели схему в посте — на основе информации в посте это лучшее, что я могу предложить на данный момент. Некоторые официальные ссылки: https://www.ciscopress.com/articles/article.asp?p=3089353&seqNum=7 BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

Joseph W. Doherty

Не вижу вложения. То, что сказал
@balaji.bandi
, «Фильтруйте нежелательный трафик как можно раньше», направлено на повышение эффективности. То есть это позволяет избежать пересылки трафика, который будет отброшен. Однако, возможно, другим руководящим принципом будет размещение ACL там, где это наиболее удобно. Например, предположим, у меня есть пограничный коммутатор с несколькими сотнями портов, и я хочу запретить всем этим портам доступ к какому-то удаленному месту назначения. Я могу применить ACL ко всем пограничным портам (для эффективности) или применить ACL к порту восходящего канала (для удобства). (Другой возможный пример: я могу применить ACL ко всем портам LAN или ACL к порту WAN). Также для эффективности вы можете применить ACL к обоим конечным портам или, для удобства, один ACL, примененный как к входу, так и к выходу, на общем транзитном порте. Какой подход выбрать? Ответ зависит от ситуации. Если трафик, который необходимо заблокировать, потребляет большую часть нашей пропускной способности, обычно его нужно заблокировать как можно скорее. Но если это всего лишь несколько небольших пакетов, например, установка TCP-соединения, удобство является удобным. ; )

Joseph W. Doherty

О, я бы добавил, что брандмауэр часто является примером размещения фильтрации в общем транзитном месте. Конечно, можно правильно сказать, что брандмауэры могут делать гораздо больше, чем обычные ACL, но маршрутизаторы и некоторые пограничные хосты с дополнительным программным обеспечением могут поддерживать многие, если не все, возможности брандмауэра, и это было бы более эффективно, но, как правило, другие факторы делают использование брандмауэра «лучшим» вариантом.