碼上歡樂
相關內容    簡體    繁體

交換機調用ACL時候的inbound和outbound該怎么用

本文轉載自   查看原文   2022-01-05 09:35   1434 

我們知道,簡單的ACL(訪問控制列表)配置以后,通常在物理接口或者vlanif虛接口下調用,但是我們時常不明白,到底什么時候該用inbound,什么時候該用outbound,下面是我自己簡單的理解。

 

 

一:物理接口下調用

[CORE1]acl 3001
[CORE1-acl-adv-3001]rule deny ip source 192.168.10.253 0 destination 192.168.10.
252 0
[CORE1-acl-adv-3001]quit

[CORE1]interface GigabitEthernet 0/0/2
[CORE1-GigabitEthernet0/0/2]display this
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
traffic-filter outbound acl 3000
#
[CORE1-GigabitEthernet0/0/2]traffic-filter inbound acl 3001
[CORE1-GigabitEthernet0/0/2]
我們總是要結合源地址和目的地址來分析,先看ACL,ip soure 192.168.10.0的網段,如果在G0/0/2接口調用,就是入方向,也就是inbound。因為源地址和我終端的接口是一致的,所以我數據要通過接口去訪問其他端口。

 

 

如果outbound方向呢?如果我想調用在G0/0/3下面呢?

 

 

現在我們更改策略,然后在G0/0/3下outbound方向調用,結果也是可以的 。

 

 

為什么會這樣呢?

總結
我們雖然改變了端口,改變了inbound或者outbound,但是策略沒變。這是根本原因,也就是說破判斷這個流量出入方向我們總是結合源地址和目的地址來看的。

ACL是這樣的:
rule 5 deny ip source 192.168.10.253 0 destination 192.168.10.252 0

在G 0/0/2下面,2端口的終端也是源地址,那么我的終端通過我這個2接口這里過濾,那么就是inbound。

在G0/0/3下面,我變了出方向,但是規則,還是源地址這個訪問目的這個,也就是只有出方向的時候,還是源地址訪問這個目的地址才會被過濾。其實和inbound還是一樣的。

只有10.253訪問10.252的時候,在G2端口是數據進入的方向,在G3反而是出的方向,所以使用outbound。

 

二:vlanif下調用

vlanif下調用其實和物理端口調用有異曲同工之妙,不同vlan隔離互訪的時候,

舉個簡單例子,有兩個vlan,10,20,假如地址分別是10.1 20.1

規則是,rule deny ip sou 10.1 dest 20.1

在vlan10下面調用就是inbound

相反,想實現同樣的目的,規則不變的情況下,我們在vlan20下面調用就是outbound。

你看,也是結合源和目的來看的,

vlan10下面調用,源地址也是10.1,所以是inbound

vlan20下面調用,源地址還是10.1,所以是outbound(因為只有源是10.1訪問目的20.1,在vlan20那側,才算是出方向)

成果
有以下規則,我們還是依然根據源地址和目的來判斷

一:調用acl的源和目的地址全是一個網段的時候,且只有ACL中,只有source或者只有destnation時,如下。

rule 5 deny ip source 192.168.10.0 0.0.0.255

rule 10 deny ip destination 192.168.10.0 0.0.0.255

此時,無論在哪個接口,哪個vlanif下調用,inbound和outbound都可以實現訪問控制

二:源和目的不是同一個網段的時候,且只有ACL中,只有source或者只有destnation時,舉個例子

rule 5 deny ip source 192.168.10.0 0.0.0.255

//如果調用在10網段所屬的vlan或者接口下,那么就是inbound

//如果調用在其他網段,都是outbound
rule 10 deny ip destination 192.168.20.0 0.0.0.255

//如果調用在20網段所屬的vlan或者接口下,那么就是outbound

//如果調用在其他不論哪個網段,都是inbound

三:含有源地址和目的地址的acl規則,我們就按他的出入方向來判斷調用的方向即可。
————————————————
版權聲明:本文為CSDN博主「疏散一小生」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/NeverGUM/article/details/105400087


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 華為交換機ACL基礎配置 華為交換機高級ACL配置 華為交換機ACL如何使用及原則 三層交換機之ACL 思科交換機 ACL 理解 和 設置命令 3層交換機 交換機 如何選型交換機? 華為S5700系列交換機使用高級ACL限制不同網段的用戶互訪 華為交換機怎么寫 time-range 時間和運用到ACL
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM