Vlan ACL in 和 out 區別
阿新 • • 發佈:2018-11-14
進入裝置前ACL就起作用的設為in,進入裝置後ACL才起作用的設為out。
你可以把裝置想像成你家,ACL就是你家大門。外面的人要通過大門進來你家,就要in;你家裡面或者你家後花園送來的東西要從大門送到外面,就要out。
至於放在哪個位置,還是可以以門為例,比如ACL設在大門,那麼經過大門的流量才受到影響,也就是說如果是從另一個門in或out則不受影響(比如從你家後門進來出去)。放哪個門(介面)影響哪些流量,具體環境分析一下就清楚了。
A----路由F1口----路由F2口----B
你把ACL放在F1口 A的資料對於路由來說就是進來的 所有要用入口過濾
你把ACL放在F2口 A的資料對於路由來說就是出去的 所以要用出口過濾
------------------
注:在vlan間的acl中當源地址段為應用 vlan介面的ip段時,就是用in方向;
當目的地址段為應用vlan介面的ip段時,就是用out方向;
舉例說明
Host 1.1.1.1 vlan10(1.1.1.2)SW vlan20(2.2.2.2) host 2.2.2.1
禁止host 1.1.1.1訪問2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in
方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out
你可以把裝置想像成你家,ACL就是你家大門。外面的人要通過大門進來你家,就要in;你家裡面或者你家後花園送來的東西要從大門送到外面,就要out。
至於放在哪個位置,還是可以以門為例,比如ACL設在大門,那麼經過大門的流量才受到影響,也就是說如果是從另一個門in或out則不受影響(比如從你家後門進來出去)。放哪個門(介面)影響哪些流量,具體環境分析一下就清楚了。
A----路由F1口----路由F2口----B
你把ACL放在F1口 A的資料對於路由來說就是進來的 所有要用入口過濾
你把ACL放在F2口 A的資料對於路由來說就是出去的 所以要用出口過濾
------------------
注:在vlan間的acl中當源地址段為應用 vlan介面的ip段時,就是用in方向;
當目的地址段為應用vlan介面的ip段時,就是用out方向;
舉例說明
Host 1.1.1.1 vlan10(1.1.1.2)SW vlan20(2.2.2.2) host 2.2.2.1
禁止host 1.1.1.1訪問2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in
方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out