以前搞网络设备配置对acl的in还是out方向总是不能一下子说清,什么接口里还是什么vlan里还要画出来看看才有把握。清楚的就是不管标准acl还是扩展acl策略out放在出接口,in放在入接口。配置上去不生效了才研究是不是搞反了。
其实也是对到底哪个方向没有彻底搞明白,这几天搜了好多资料把acl的in和out方向算是理解了,用网上简单的话说就是“in或者out是以交换机或者路由器设备为单位,并不是以某个端口为单位。任何从外面跑进设备的就是IN,从设备跑出的都是OUT。”这算是给我一个下手的标准了。扯了这么多,其实都还没到正题,就当预热下啦 。
查阅资料中我会看到好多如题的说法,可能也是官方的手册介绍吧。这时自己心里纳闷了,不管标准还是扩展的acl不是还要分in和out方向么,这种说法没提到啊,越想越糊涂,钻牛角尖不能自拔了。终于最后找到有关跟我有一样疑惑的人发问别人回答很明晰的结果了,所以在这就总结写下来。
就直接上图不啰嗦了,假设我想拒绝右侧的主机172.16.4.13访问左侧的172.16.3.0网络。
⑴使用标准的acl为:access-list 10 deny host 172.16.4.13 ,然后肯定应用在E0口的out方向。为什么不能应用在E1口的in方向呢?当然也是可以的,但有个致命问题是如果该网络很多,如4.13还要访问S0的172.16.0.0网络,那么应用在E1的in向,这时172.16.4.13就被限制死了,也不能访问S0网络了。所以就解释了为啥“标准ACL策略要放在离目标地址近的地方”了,也就明白为啥一般在E0口用out方向而不在E1口用in方向了(插播一句,有人会不会又问那我就想在E0口用in方向实现结果可以不?可以,限制你过来的包我给你不回复就行,不过你的acl源地址就要改了,也跟题要求的远了,而且跟不好理解)。
⑵如果我使用扩展acl访问如下:access-list 100 deny IP host 172.16.4.13 172.16.3.0 0.0.0.255,能想到的就是应用在E1口的in方向,为什么?因为如果应用在E0口的out方向也可以实现的,但是数据已经进入了路由器,从E0口向外发送时发现应该拒绝该数据,那么路由器查找路由表就是在做无用功了,浪费资源,加重路由器都负担(好比贼娃子撬开了你家门,但就是撬不开你家保险柜,也搬不走无奈离开,但你家门和地毯受影响了)。所以这就解释了“扩展的ACL尽量放在离源地址近的地方。”
好了,写到这里了。写下来也防止以后自己又想不通了打开再来看看了
扫一扫
994
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
