vlan中ACL inbound与outbound详解

已于 2022-04-28 17:17:18 修改
阅读量2.3w 收藏 73
点赞数 10
文章标签: 网络协议
于 2016-07-22 12:00:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flyhorstar/article/details/80912272
版权

关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置

ACL一般有两种应用场景:应用到交换机物理端口和应用到Vlan。

场景一:应用到交换机物理端口

网络拓扑:PC连接在交换机的Gig0/0/1端口

实现目的:禁止在PC上能够访问any的80和443端口

解析:

站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机,那么ACL就要应用到交换机物理端口Gig0/0/1的inbound方向上。​ACL配置如下:

acl name test​​
    rule 5 deny tcp d​estination-port eq 443
    rule 10 deny tcp destination-porteq www

​​​​interface GigabitEthernet0/0/1
    traffic-filter inbound acl name test​

场景二:应用到vlan

实现目的:只允许此vlanA中的IP与vlanB中的10.10.10.89通讯,其他禁止。

解析:

把vlan的网关看作交换机的大门。

在交换机内部,报文在vlan间是由交换机L3转发引擎转发,不受ACL控制,所以vlanA发送到vlanB的报文,ACL是无法控制的。我们只能控制进入vlanA的报文,或者控制出vlanB的报文。

第一种方法:ACL应用于vlanA的in方向​。

vlan acl方向

ACL配置如下,应用于VlanA的inbound方向:

Permit ip destination 10.10.10.89 0    //允许访问内网中的此IP,下面三条是禁止访问内网IP

Deny ip destination 10.0.0.0 0.255.255.255

Deny ip destination 172.16.0.0 0.25.255.255

Deny ip destination 192.168.0.0 0.0.255.255

Permit ip destination any​​    //允许访问外网

第二种方法:应用到vlanB的out方向。

报文已经进入了交换机,我们控制的是出来的报文。因为正常通信的建立需要对方回包,相当于小偷已经进到客厅了,但我们不让它从后门出去。

Permit source 10.10.10.89 0    //允许源地址为此IP的包出去

Deny source 10.0.0.0 0.255.255.255

Deny source172.16.0.0 0.25.255.255

Deny source 192.168.0.0 0.0.255.255

Permit any    //允许源地址为外网IP的包出去

大风哥的博客
关注
  • 10
    点赞
  • 73
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ACL-VLANIF的Inbound和Outbound区别
Welcome To OpenClouds World !!!
10-16 3126
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块才能生效,如在NAT调用、在防火墙的策略部署被调用、在路由策略被调用和用来通过流量过滤。2、ACL分类(1)基本ACLACL编号2000-2999,只能用报文的源IP地址、分片时间和生效时间段来定义规则;(2)高级ACLACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
如何在判断华为华三交换机ACL里面的inbound和outbound方向
热门推荐
NeverGUM的博客
08-23 1万+
前言: 我们经常在交换机和路由等网络设备做一些报文过滤的操作,也就是访问控制列表ACL,在接口调用(华为)或者在vlanif下调用(华三)经常会遇到这种头疼的问题,调用在outbound方向,还是inbound方向呢? 下面请看示例拓补图: 过程分析: 可以看到图示的方向,红色箭头代表outbound方向,紫色箭头代表inbound方向。其实谈论这种出入方向的时候,我们总是应该选择一个...
计算机网络-Traffic-Filter流量过滤策略
最新发布
Linux基础知识、计算机网络基础学习分享。
05-24 767
拓扑:如图是直接使用路由器物理接口作为网关,部门1访问部门3通过G0口进入然后转发到G2口出,我们还需要指定流量是有来有回才能互相访问,所以除了可以在去时流量进行过滤也可以在部门什回来部门1的流量进行过滤,方法和接口方向都可以灵活配置。为提高网络安全性,管理人员需要控制进入网络的流量,将不信任的报文丢弃在网络边界。总结:流量过滤可以使用Traffic-Filter进行限制不同部门互访,隔绝流量,支持在物理接口和VLAN视图使用,有inbound和outbound,可以灵活运用以实现需求。
Vlan ACL in 和 out 区别
喝茶的小鸡
12-07 5375
进入设备前ACL就起作用的设为in,进入设备后ACL才起作用的设为out。 你可以把设备想像成你家,ACL就是你家大门。外面的人要通过大门进来你家,就要in;你家里面或者你家后花园送来的东西要从大门送到外面,就要out。 至于放在哪个位置,还是可以以门为例,比如ACL设在大门,那么经过大门的流量才受到影响,也就是说如果是从另一个门in或out则不受影响(比如从你家后门进来出去)。放哪个门(接口
华为/思科ACL
一个懒鬼的博客
08-04 3105
ACL 访问控制列表 (Access Contril List,ACL)是应用在路由器接口的指令列表 标准的ACL,基于源IP地址的过滤 思科:1-99 华为:2000-2999 扩展的访问控制列表 基于源IP,目标端口号,协议号,标准进行过滤 思科:100-199 华为:3000-3999 标准ACL配置: acl number 2000 rule 5 deny source 192.168.1.1 0 ...
Vlan ACL的IN和OUT的问题
weixin_34191734的博客
05-05 891
关于在vlan的接口上使用ACL配置的方向问题,在几个专业论坛里面看到经常有人提起。在这里我总结一下。还是举例说明吧。 1,拓扑图如: Host_A(1.1.1.1) <------> (1.1.1.2)E1:SW:E2(2.2.2.2) <------> (2.2.2.1)Host_B 需求(由于是说明ACL放置接口的方向问题,所以需求...
ensp模拟traffic-policy在vlan视图下的inbound outbound
netlive的专栏
05-31 4901
先说结论: 限制vlan b访问 vlan a的某个地址,只能在vlan b的inbound 方向上做策略,或者在vlan a的视图下做inbound,outbound无论是在vlan a或者vlan b视图下,都不起作用。 以下是测试的过程: 最近工作用到了traffic-policy ,之前用traffic-filter的时候在Inbound和outbound 的时候,在哪个方向上应用,没有迷惑,可是在用traffic-policy 的时候,发现只有在in...
基于VLANACL
潇峰的博客
07-11 2029
此时 :traffic-filter vlan 10 inbound acl 3000 配置失效 vlan10 和vlan 30 可以相互访问
ACL的in和out图解(router或三层交换机)
wailaizhu的博客
02-18 4552
aclin和out的区别。 标准访问控制列表只能抓原地址。 扩展访问控制列表可以抓原地址 端口 目的地址 端口。 a.举例 ip access-list 1 permit 192.168.11.2 如果这个时候应用在192.168.11.2所接的设备上,检测到这个原地址的数据包将被丢弃,不管去往哪里。 b.扩展访问控制列表可以抓原地址 端口 目的地址 端口。 用在源地址处,方向in将避免流量穿越网络,首先被拦截。 用在目的地址处,方向out 也能达到效果,流量穿越网络...
ACL管理与配置(ACL匹配机制、ACL应用匹配位置、基本配置)】(下)-20211214
AZK707的博客
01-29 2193
一、基本ACL&高级ACL 1.基本ACL 只能根据源ip进行匹配 配置rule时不写编号,会自动补上,从rule 5开始,步长为5 2.高级ACL 可以根据协议、源ip、目的ip、端口号进行匹配 二、ACL的匹配机制 如果ACL匹配接口为不匹配,查看路由表,是否能转发改路由。 acl用来匹配流量默认规则是允许,用来匹配路由默认是拒绝 三、ACL匹配位置 1.在入方向的接口或者出方向的接口上配置 1) inbound的优势:先看ACL,再查路由。...
SAP PI 配置 从配置到开发测试 Inbound outbound都覆盖
08-05
在SAP PI(Process Integration)系统,配置和开发涉及一系列步骤,确保数据和服务在不同系统间顺畅交互。本文将详细解析从SLD到测试代理类的整个过程,并解决sxi_monitor不记录错误消息的问题。 首先,我们从SLD...
mandrill-inbound-outbound-forward-php:用于使用 Mandrill 入站出站服务转发电子邮件的 PHP 库
05-31
Mandrill 入站到出站转发 ... 接收有关 Mandrill 入站的电子邮件 使用 Mandrill Outbound 转发另一个电子邮件/邮箱(如 GMAIL)上的电子邮件 收到的每封电子邮件都将占用 1 个发送槽...$ cd mandrill-inbound-outbound-
H3C_ACL包过滤基础配置案例
04-18
**H3C ACL包过滤基础配置案例详解** 在H3C网络设备,访问控制列表(ACL)是一种重要的网络安全和流量管理工具,用于定义网络流量的过滤规则。本文档将详细讲解一个基于H3C设备的ACL包过滤基础配置案例,适用于H3...
luyouqi.rar_ACL_路由器
09-20
2. **ACL的应用位置**:解释在路由器接口上的入站(inbound)和出站(outbound)方向上应用ACL的差异,以及如何选择合适的位置以实现预期的控制效果。 3. **配置示例**:提供配置标准ACL的命令行示例,演示如何在...
基于ACL的简化流策略配置.pdf
03-16
3. 配置入站或出站的ACL过滤:`traffic-filter { inbound | outbound } { acl | ipv6 acl } { acl-number | name acl-name }` - Loopback接口只支持入站过滤,不支持IPv6 ACL。 4. 退出接口视图:`quit` 5. 可选地...
你可能不知道的网工技术—ACL访问控制技术 ,看这篇文章就够了
zhongyuanjy的博客
09-20 875
访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块才能生效,如在NAT调用、在防火墙的策略部署被调用、在路由策略被调用和用来通过流量过滤。规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用户指定;
IDOC的outboundinbound的理解和区别,以及IDOC的触发
ABAP成长之路
10-19 5565
待定
cacti下交换机端口图像Inbound与Outbound的理解
weixin_34080903的博客
09-09 559
具体图像如下:端口21下连接的终端IP为10.240.240.69。机器从外部下载文件此时,对应的21端口方向为outbound,即外界数据包(所下载的软件)经由该端口(从21端口流出)传给该机器该机器在14:12分左右使用迅雷下载(图表现为端口21下的Outbound流量在该时段瞬间飙升),14:18分钟后限制了下载速度(图表现为端口21下的Outbound流量在该时段...
华为设备配置 高级acl inbound和outbound
03-31
华为设备的高级ACL(Access Control List)是一种网络安全控制技术,用于限制网络流量,保护网络安全。下面是华为设备配置高级ACL inbound和outbound的步骤: 1. 登录到华为设备的用户界面,进入配置模式。 2. 创建一个高级ACL,输入命令:acl number ACL名称。 3. 进入ACL编辑模式,输入命令:rule number permit/deny {protocol} {source ip} {source mask} {destination ip} {destination mask} [source-port/source-port-group] [destination-port/destination-port-group]。 4. 设置高级ACLinbound或outbound功能,输入命令:interface {interface-name}。 5. 进入接口编辑模式,输入命令:traffic-filter {ACL名称} {inbound/outbound}。 6. 保存并退出配置模式,输入命令:quit。 7. 检查ACL配置是否生效,输入命令:display ip interface {interface-name}。 以上是华为设备配置高级ACL inbound和outbound的步骤,需要注意的是,在配置ACL时,要根据实际需要选择permit或deny,以及具体的协议、源IP、目标IP等参数。同时,要根据网络拓扑结构选择正确的inbound或outbound功能,确保ACL能够正确地过滤网络流量。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值