Wie oft wird dieser Mist eigentlich noch verbreitet?
Question: Where should you place standard ACLs in the Network?
Answer: Standard ACLs should be placed as close as possible to the destination to prevent unintended traffic from filtering to your other networks.
Standard-ACLs werden nicht zum Filtern von Traffic verwendet! Dazu sind die extended Access-Listen da. Standard-ACLs haben ihre Daseinsberechtigung z.B. im Filtern von Routing-Updates, für Access-Classes, etc. Aber leider ist die Original-Aussage in diversen Cisco-Trainings zu finden und wird auch genauso oft nachgeplappert (leider auch von Leuten, die es besser wissen sollten).
Standard ACLs filtern anhand der Source-IP. In einem
vermaschten Netz würden Standard ACLs welche nicht “as close as possible” am Ziel platziert werden die Design-Freiheit unnötig reduzieren und früher o. später in unkonsolidierten Szenarien unbeabsichtigt filtern. Diesen Inhalt versucht der Autor rüberbringen, ist also kein “Mist”. Bis auf diesen kleinen Schnitzer finde ich Deine Site aber trotzdem ausgezeichnet! 😉
Und ich versuche rüberzubringen, daß es keine Lösung ist, die Standard-ACL “as close as possible” zu setzen, sondern eher, diese überhaupt nicht für das (Data-Plane) Filtern zu verwenden. 😉
Wenn die Frage auch paar Monate verspätet kommt, hoffe ich trotzdem auf eine Antwort 🙂
Wieso soll man keine Standard-ACLs zum filtern von Traffic verwenden? Gibt es außer dem Hintergrund, dass Extended-ACLs angenehmer zu handhaben sind (z.B. für nachträgliche Veränderungen) noch einen anderne technischen Hintergrund z.B. Performance?
Nein, weitere Hintergründe sind nicht dabei. Einfach nur, daß es das einzig sinnvolle Werkzeug für diese Aufgabe ist. Klar kann man auch mit einer Bohrmaschine einen Nagel einschlagen. Aber wenn das jemand versucht wäre es besser ihm zu sagen, er solle einen Hammer nehmen, anstelle ihm zu zeigen wie er die Bohrmaschine besser halten soll. Wir reden hier auch nicht über MacGyver-Situationen, in denen nur eine begrenzte Auswahl an Werkzeugen zur Verfügung stehen.