ACL 匹配规则 in out 方向

news/2025/3/16 18:36:42

1 试验目的 (注:华为默认最后未被匹配的路由都permit ,思科 默认最后都未被匹配的路由是deny

测试ACL匹配原则

2 理解 out 与in 

in和out是相对的,比如:
A(s0)-----(s0)B(s1)--------(s1)C
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的
2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)
虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
假设你要把铁门(ACL)安在C,那时候应该用in还是out呢?
这个问题留给你自己回答了,呵呵
相对于路由器的,穿过路由器的是out 即将进入的是in
扩展acl,要靠近源 ,标准acl靠近目标地址 
实际上in和out的应用是很灵活的.
3 试验拓扑



具体接口配置如拓扑所示

3.1 配置实例与结果

在router 0上配置ACL 应用到Fa0/0接口

access-list 20 permit host 172.16.30.3 

interface FastEthernet0/0

ip address 172.16.30.1 255.255.255.0

duplex auto

speed auto

ip access-group 20 in 

则 只有172.16.30.3 的主机能够访问 192.168.10.2 的主机,172.16.30.2 的主机不能访问。


3.2 配置实例与结果

在router 0上配置ACL 应用到Fa0/1接口

access-list 20 permit host 172.16.30.3 

interface FastEthernet1/0

ip address 192.168.10.1 255.255.255.0

ip access-group 20 in (在该接口本应该为out ,配置为in 后 对应的控制方向就是控制源地址192.168.10.2的路由,而access-list中配置源为172.16.30.3 显然不匹配

故PC1(IP为192.168.10.1 )出去的流量都被拒绝)

duplex auto

speed auto

则 PC1 (IP为192.168.10.1 )ping PC0 与Laptop0都不通。


3.3 配置实例与结果

在router 0上配置ACL 应用到Fa0/1接口

access-list 20 permit host 172.16.30.3

access-list 20 permit host 192.168.10.2

interface FastEthernet1/0

ip address 192.168.10.1 255.255.255.0

ip access-group 20 in 


放开源 192.168.10.2 后, PC1(IP为192.168.10.1 )ping PC0 与Laptop0都通。




文章来源:https://blog.csdn.net/yiluyangguang1234/article/details/73829518
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:https://dhexx.cn/news/show-1654287.html

相关文章

利用rsync+crontab实现Linux服务器间的定时增量备份

rsync是Linux、UNIX系统下的数据镜像备份工具,它的特性如下: 1、可以镜像保存整个目录树和文件系统。 2、可以很容易做到保持原来文件的权限、时间、软硬链接等等。 3、无须特殊权限即可安装。 4、优化的流程,文件传输效率高。 5、可以使…

node mysql await_node.js中 mysql 增删改查操作及async,await处理实例分析

本文实例讲述了node.js中 mysql 增删改查操作及async,await处理。分享给大家供大家参考,具体如下:要对mysql进行操作,我们需要安装一个mysql的库。一、安装mysql库npm install mysql --save二、对mysql进行简单查询操作const mysq…

[POJ3728]The merchant

题目大意:   给你一棵n个结点的带权树,有q组询问,问你从u到v的路径上最大值与最小值的差(最大值在最小值后面)。 思路:   首先考虑路径上合并两个子路径u->t和t->v时的情况。   假设我们已经知…

语音实验5 Voip,ISDN backup

基本通用配置,先配置拓扑所示电话能够互相打通(建议采用语音 G.704 CCS 方式),再通过 逻辑拓扑 物理拓扑 ISDN 的配置参看前面的实验。下文仅增加 VoIP 的配置 一、基本配置 缺省情况 destination-pattern 一样,随机选择线路。小技巧&#x…

cocos2d-x改底层之获取UIListView的实际内容大小

实际项目中UI界面中常常会用到UIListView。大多会在CocoStudio中直接加入这个控件。可是在使用中发现了一些坑和功能缺乏,然后就看了一下底层的逻辑,发现略微改一下底层就能够满足需求,所以以下就针对需求来分析UIListView的底层。同一时候做…

屏幕方向该知道的那些事儿

前言 这两天在学关于屏幕旋转的相关的知识,也延伸出了加速器和陀螺仪这些以前没有深入去学习过的知识点,在没有仔细看之前也有一些问题在想,比如;用户关闭了手机的屏幕旋转,但根据我们的使用经验,APP的界面…

[转载]ASP.NET 2.0 本地化技术之研究

ASP.NET 2.0 本地化技术之研究 众所周知ASP.NET 2.0里对本地化(Localization)做了很多工作,大大简化了开发过程。今天终于能抽出时间研究一下这个技术了,资料很多,但大多带着一股咬文嚼字的翻译味道,So....…

后台使用类将对象序列化为JSon字符串

$.getJSON("Photolist.ashx",function (msg){ //每次加载之前清空 $("#content").html(""); //动态创建table var table$("<table idpList></table>"); …

LSA5 中FA地址为非0的情况

FA(Forwarding Address)转发地址为非0的情况&#xff1a; 同时满足如下条件时&#xff0c;ASBR会在ASE的FA域内填写转发地址。 OSPF在ASBR与外部网络连接的下一跳接口启动&#xff1b; ASBR与外部网络连接的下一跳接口没有被设置为被动接口&#xff1b; ASBR与外部网络连接…

刘强东布局东南亚第一站 京东在印尼服务两千万用户

1月份在达沃斯世界经济论坛年会上&#xff0c;京东集团董事局主席兼首席执行官刘强东明确表示&#xff0c;未来10年一定是中国品牌全球化的10年&#xff0c;京东的投资将跟随国家“一带一路”的倡议&#xff0c;第一站海外去的就是印尼&#xff0c;已在当地发展两年。2月8日&am…