acl中in和out的區別
in和out是相對的,比如:
A(s0)-----(s0)B(s1)--------(s1)C
www.2cto.com
假設你現在想拒絕A訪問C,並且假設要求你是在B上面做ACL(當然C上也可以),我們把這個拓撲換成一個例子:
B的s0口是前門,s1口是后門,整個B是你家客廳,前門外連的是A,客廳后門連接的是你家金庫(C)
現在要拒絕小偷從A進來,那么你在你家客廳做個設置,就有2種辦法:
1.在你家客廳(B)前門(B的s0)安個鐵門(ACL),不讓小偷進來(in),這樣可以達到目的
2.在你家客廳后門安個鐵門(B的s1),小偷雖然進到你家客廳,但是仍然不能從后門出去(out)到達你家金庫(C)
雖然這2種辦法(in/out)都可以達到功效,但是從性能角度上來說還是有區別的,實際上最好的辦法,就是選辦法1,就像雖然小偷沒進到金庫,至少進到你家客廳(B),把你客廳的地毯給搞臟了(B要消耗些額外的不必要的處理)
假設你要把鐵門(ACL)安在C,那時候應該用in還是out呢?
這個問題留給你自己回答了,呵呵
相對於
路由器的,穿過路由器的是out 即將進入的是in
擴展acl,要靠近源 ,標准acl靠近目標地址
實際上in和out的應用是很靈活的.
Vlan ACL in 和 out 區別 (重要)
進入設備前ACL就起作用的設為in,進入設備后ACL才起作用的設為out。
你可以把設備想像成你家,ACL就是你家大門。外面的人要通過大門進來你家,就要in;你家里面或者你家后花園送來的東西要從大門送到外面,就要out。
至於放在哪個位置,還是可以以門為例,比如ACL設在大門,那么經過大門的流量才受到影響,也就是說如果是從另一個門in或out則不受影響(比如從你家后門進來出去)。放哪個門(接口)影響哪些流量,具體環境分析一下就清楚了。
A----路由F1口----路由F2口----B
你把ACL放在F1口 A的數據對於路由來說就是進來的 所有要用入口過濾
你把ACL放在F2口 A的數據對於路由來說就是出去的 所以要用出口過濾
------------------
注:在vlan間的acl中當源地址段為應用 vlan接口的ip段時,就是用in方向;
當目的地址段為應用vlan接口的ip段時,就是用out方向;
舉例說明
Host 1.1.1.1 vlan10(1.1.1.2)SW vlan20(2.2.2.2) host 2.2.2.1
禁止host 1.1.1.1訪問2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in
方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out