vlan中ACL inbound与outbound详解

关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置

ACL一般有两种应用场景:应用到交换机物理端口和应用到Vlan。

场景一:应用到交换机物理端口

网络拓扑:PC连接在交换机的Gig0/0/1端口

实现目的:禁止在PC上能够访问any的80和443端口

解析:

站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机,那么ACL就要应用到交换机物理端口Gig0/0/1的inbound方向上。​ACL配置如下:

acl name test​​
    rule 5 deny tcp d​estination-port eq 443
    rule 10 deny tcp destination-porteq www

​​​​interface GigabitEthernet0/0/1
    traffic-filter inbound acl name test​

场景二:应用到vlan

实现目的:只允许此vlanA中的IP与vlanB中的10.10.10.89通讯,其他禁止。

解析:

把vlan的网关看作交换机的大门。

在交换机内部,报文在vlan间是由交换机L3转发引擎转发,不受ACL控制,所以vlanA发送到vlanB的报文,ACL是无法控制的。我们只能控制进入vlanA的报文,或者控制出vlanB的报文。

第一种方法:ACL应用于vlanA的in方向​。

vlan acl方向

ACL配置如下,应用于VlanA的inbound方向:

Permit ip destination 10.10.10.89 0    //允许访问内网中的此IP,下面三条是禁止访问内网IP

Deny ip destination 10.0.0.0 0.255.255.255

Deny ip destination 172.16.0.0 0.25.255.255

Deny ip destination 192.168.0.0 0.0.255.255

Permit ip destination any​​    //允许访问外网

第二种方法:应用到vlanB的out方向。

报文已经进入了交换机,我们控制的是出来的报文。因为正常通信的建立需要对方回包,相当于小偷已经进到客厅了,但我们不让它从后门出去。

Permit source 10.10.10.89 0    //允许源地址为此IP的包出去

Deny source 10.0.0.0 0.255.255.255

Deny source172.16.0.0 0.25.255.255

Deny source 192.168.0.0 0.0.255.255

Permit any    //允许源地址为外网IP的包出去

  • 10
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值