ACL的in和out图解(router或三层交换机)

ACL的in和out图解(router或三层交换机)_第1张图片

acl中in和out的区别。

  1. 标准访问控制列表只能抓原地址。

  2. 扩展访问控制列表可以抓原地址 端口 目的地址 端口。

 

a.举例 ip access-list 1 permit 192.168.11.2

如果这个时候应用在192.168.11.2所接的设备上,检测到这个原地址的数据包将被丢弃,不管去往哪里。

b.扩展访问控制列表可以抓原地址 端口 目的地址 端口。

用在源地址处,方向in将避免流量穿越网络,首先被拦截。

用在目的地址处,方向out 也能达到效果,流量穿越网络,消耗网络资源带宽。

 

交换机的vlan中的ACL理解与路由器一样,你可以理解为

interface vlan 10

ip address 192.168.11.1 255.255.255.0

这个是一个vlan10的实体接口,所有流量想出此vlan 都必须经过它,所以扩展ACL

举例,只允许a访问b,不允许a访问其他任何地址,如下:

ip access-group  xxxx in

ip access-list extended xxxx

     permit ip host a host b

     deny ip any any

 

扩展acl,要靠近源 ,标准acl靠近目标地址

实际上in和out的应用会很灵活

你可能感兴趣的:(运维,防火墙,运维)