in 和 out 是相对的, 比如:

A(s0)-----(s0)B(s1)--------(s1)C

假设你现在想拒绝 A 访问 C, 并且假设要求你是在 B 上面做 ACL(当然 C 上也可以), 我们把这个拓扑换成一个例子:

 

B 的 s0 口是前门, s1 口是后门, 整个 B 是你家客厅, 前门外连的是 A, 客厅后门连接的是你家金库 (C)

现在要拒绝小偷从 A 进来, 那么你在你家客厅做个设置, 就有 2 种办法:

 

1. 在你家客厅 (B) 前门 (B 的 s0) 安个铁门 (ACL), 不让小偷进来 (in), 这样可以达到目的

2. 在你家客厅后门安个铁门 (B 的 s1), 小偷虽然进到你家客厅, 但是仍然不能从后门出去 (out) 到达你家金库 (C)

 

虽然这 2 种办法 (in/out) 都可以达到功效, 但是从性能角度上来说还是有区别的, 实际上最好的办法, 就是选办法 1, 就像虽然小偷没进到金库, 至少进到你家客厅 (B), 把你客厅的地毯给搞脏了 (B 要消耗些额外的不必要的处理)

 

假设你要把铁门 (ACL) 安在 C, 那时候应该用 in 还是 out 呢?

这个问题留给你自己回答了, 呵呵

 

相对于路由器的,穿过路由器的是 out 即将进入的是 in

扩展 acl, 要靠近源 ,标准 acl 靠近目标地址

 

实际上 in 和 out 的应用是很灵活的.

 

Vlan ACL in 和 out 区别 (重要)

进入设备前 ACL 就起作用的设为 in,进入设备后 ACL 才起作用的设为 out。
你可以把设备想像成你家,ACL 就是你家大门。外面的人要通过大门进来你家,就要 in;你家里面或者你家后花园送来的东西要从大门送到外面,就要 out。
至于放在哪个位置,还是可以以门为例,比如 ACL 设在大门,那么经过大门的流量才受到影响,也就是说如果是从另一个门 in 或 out 则不受影响(比如从你家后门进来出去)。放哪个门(接口)影响哪些流量,具体环境分析一下就清楚了。

 

 A---- 路由 F1 口 ---- 路由 F2 口 ----B

你把 ACL 放在 F1 口 A 的数据对于路由来说就是进来的 所有要用入口过滤 
你把 ACL 放在 F2 口 A 的数据对于路由来说就是出去的 所以要用出口过滤

------------------

注:在 vlan 间的 acl 中当源地址段为应用 vlan 接口的 ip 段时,就是用 in 方向;

当目的地址段为应用 vlan 接口的 ip 段时,就是用 out 方向;

 

          举例说明


Host 1.1.1.1     vlan10(1.1.1.2)SW vlan20(2.2.2.2)     host 2.2.2.1
禁止 host 1.1.1.1 访问 2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in

 


方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out


原文链接:https://www.cnblogs.com/fatt/p/4353806.html