我們經常在交換機和路由等網絡設備做一些報文過濾的操作,也就是訪問控制列表ACL,在接口調用(華為)或者在vlanif下調用(華三)經常會遇到這種頭疼的問題,調用在outbound方向,還是inbound方向呢?
下面請看示例拓補圖:
過程分析:
可以看到圖示的方向,紅色箭頭代表outbound方向,紫色箭頭代表inbound方向。其實談論這種出入方向的時候,我們總是應該選擇一個參照物,比如LSW1的G0/0/2端口來說,端口向電腦發送數據就是出方向(outbound),反之電腦給端口發送數據就是(inbound)方向,同理,對於LSW1的G0/0/1端口來說,端口給下一個交換機發送數據就是出方向(outbound),要是LSW2的交換機給我發送數據就是(inbound)方向。
那么請看下示例代碼:
需求:禁止IP地址是192.168.10.1的主機訪問IP地址是192.168.20.1的主機
那么在華為設備里,正常的調用代碼是這樣的。
[test]acl 3000
[test-acl-adv-3000]step 5
[test-acl-adv-3000] rule 5 deny ip source 192.168.10.1 0 destination 192.168.20.1 0
[test-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
這是一個簡單的調用過程
acl策略里面,源地址是192.168.10.1,目的地址是192.168.20.1,所以是10.1的這台電腦去訪問20.1的這台電腦,
也就是說是10.1的電腦向G0/0/2端口發送數據,也就是inbound方向。
那么如果是同樣的需求,我想讓它調用的方式是出方向呢?
[test]acl 3000
[test-acl-adv-3000]step 5
[test-acl-adv-3000] rule 5 deny ip source 192.168.20.1 0 destination 192.168.10.1 0
[test-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
大家有沒有發現,acl里面的源地址發生了變化,現在變成源是20.1的電腦訪問10.1的電腦,也就是說是G0/0/2端口向10.1的電腦發送數據,也就是outbound的方向。
上面描述的是交換機-PC的過程分析,如果換成是交換機和交換機相連,那么也是同樣的道理。
————————————————
版權聲明:本文為CSDN博主「疏散一小生」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/NeverGUM/article/details/100031772