关于ACL的in和out的应用

 

关于ACL 的in 和out 的应用

 

 

介绍

R1     S1/1 ip地址192.168.1.1 lo0      1.1.1.1

R2     S1/0 192.168.1.2        S1/1    192.168.2.1

R3     S1/0 192.168.2.2        S1/1    192.168.3.1

以上所有路由运行rip 全网互通

要求R1的lo0 （1.1.1.1）网段不能访问R3 

法一：在R2上 应用 OUT

access-list 1 deny    1.1.1.0 0.0.0.255

access-list 1 permit any

interface Serial1/1

 ip address 192.168.2.1 255.255.255.0

 ip access-group 1 out

此时用 ping 192.168.3.1 source 1.1.1.1 不通 可以ping通192.168.1.2

 

 

法二：在R2上 应用 IN

access-list 1 deny    1.1.1.0 0.0.0.255

access-list 1 permit any

interface Serial1/0

 ip address 192.168.1.2 255.255.255.0

 ip access-group 1 in

此时用 ping 192.168.3.1 source 1.1.1.1 不通

以上说明in方向是在进的方向就用acl规则做匹配   而out则是在出方向做匹配(有一说是out进路由后先看路由表再匹配acl，这样可能加重设备负担）

 

ACL不过滤自己本地产生的流量 for ex

1.1.1.1 Lo0--R1--S1/1------------------------S1/0--R2—Lo0 2.2.2.2

OUT的应用在R1上

Access-list 1 deny 1.1.1.0 0.0.0.255

Access-list 1 permit any

Int s1/1

Ip access-group 1 out

 .

 

Ping 192.168.2.1soure 1.1.1.1 是可以通的

 ping 192.168.2.1 也是可以通的

∴ ACL不过滤自己本地产生的流量 因为1.1.1.0 是自己产生的流量

 

但是要注意区分以下场景防止混淆！

在R1上应用in

access-list 1 deny   192.168.2.0 0.0.0.255
access-list 1 permit any

 

interface Serial1/1
 ip address 192.168.1.1 255.255.255.0
 ip access-group 1 in

R1 ping 192.168.2.1  是不通的 因为192.168.2.0不是自己产生的