acl中in和out的区别。

  1. 标准访问控制列表只能抓原地址。

  2. 扩展访问控制列表可以抓原地址 端口 目的地址 端口。


a.举例 ip access-list 1 permit 192.168.1.2

如果这个时候应用在192.168.1.2所接的设备上,检测到这个原地址的数据包将被丢弃,不管去往哪里。

b.扩展访问控制列表可以抓原地址 端口 目的地址 端口。

用在源地址处,方向in将避免流量穿越网络,首先被拦截。

用在目的地址处,方向out 也能达到效果,流量穿越网络,消耗网络资源带宽。


交换机的vlan中的ACL理解与路由器一样,你可以理解为

interface vlan 10

ip address 192.168.10.1 255.255.255.0

这个是一个vlan10的实体接口,所有流量想出此vlan 都必须经过它,所以扩展ACL

举例,只允许a访问b,不允许a访问其他任何地址,如下:

ip access-group  xxxx in

ip access-list extended xxxx

     permit ip host a host b

     deny ip any any

扩展acl,要靠近源 ,标准acl靠近目标地址

 

实际上in和out的应用是很灵活的.