Vlan ACL in 和 out

已于 2024-04-24 10:52:56 修改
阅读量687 收藏 4
点赞数 5
文章标签: 网络
于 2024-04-24 10:44:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xu52013140/article/details/138152239
版权

进入设备前ACL就起作用的设为in,进入设备后ACL才起作用的设为out。
你可以把设备想像成你家,ACL就是你家大门。外面的人要通过大门进来你家,就要in;你家里面或者你家后花园送来的东西要从大门送到外面,就要out。
至于放在哪个位置,还是可以以门为例,比如ACL设在大门,那么经过大门的流量才受到影响,也就是说如果是从另一个门in或out则不受影响(比如从你家后门进来出去)。放哪个门(接口)影响哪些流量,具体环境分析一下就清楚了。

 A----路由F1口----路由F2口----B

你把ACL放在F1口 A的数据对于路由来说就是进来的 所有要用入口过滤 
你把ACL放在F2口 A的数据对于路由来说就是出去的 所以要用出口过滤

------------------

注:在vlan间的acl中当源地址段为应用 vlan接口的ip段时,就是用in方向;

当目的地址段为应用vlan接口的ip段时,就是用out方向;

举例说明

Host 1.1.1.1     vlan10(1.1.1.2)SW vlan20(2.2.2.2)     host 2.2.2.1
禁止host 1.1.1.1访问2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in

方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out

2. 应用到vlan上的ACL
实现:在vlan182的in方向上,只允许vlan182与主机10.10.10.89通讯,​

理解:

把vlan的网关看作交换机的门。
交换机内部,报文在Vlan间由交换机L3转发引擎转发,不受ACL控制。所以,对于vlan182访问vlan221,只能控制vlan182的in方向​
Vlan ACL 方向理解

Permit ip destination 10.10.10.89 0

Deny ip destination 10.0.0.0 0.255.255.255

Deny ip destination 172.16.0.0 0.25.255.255

Deny ip destination 192.168.0.0 0.0.255.255

Permit ip destination any​​

另一种写法:

应用到vlan的out方向,这里控制的是已经进入交换机的流量,因为正常通信的建立需要对方回包(小偷已经进到客厅了,但不让它从后门出去)。

使用标准acl即可:​​

Permit source10.10.10.89 0

Deny source 10.0.0.0 0.255.255.255

Deny source172.16.0.0 0.25.255.255

Deny source 192.168.0.0 0.0.255.255

Permit any
————————————————

  

xu52013140
关注
思科acl vlan间 不能互通配置.pdf
05-10
- 注意规则的顺序及其作用方向(in/out)。 4. **验证与调试**: - 通过ping命令测试不同VLAN间的连通性。 - 使用show命令检查配置状态,如`show ip interface brief`查看接口状态、`show ip route`查看路由表、...
ACL in 和 out 区别 (重要)
weixin_33872566的博客
03-20 700
acl中in和out的区别 in和out是相对的,比如: A(s0)-----(s0)B(s1)--------(s1)C www.2cto.com 假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子: B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C) 现在要拒绝小...
ACL-VLANIF的Inbound和Outbound区别
Welcome To OpenClouds World !!!
10-16 3680
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。2、ACL分类(1)基本ACLACL编号2000-2999,只能用报文的源IP地址、分片时间和生效时间段来定义规则;(2)高级ACLACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
HCIA——ACL访问控制列表
最新发布
cruonine的博客
07-14 699
ACL访问控制列表
Vlan ACL in 和 out 区别
喝茶的小鸡
12-07 5440
进入设备前ACL就起作用的设为in,进入设备后ACL才起作用的设为out。 你可以把设备想像成你家,ACL就是你家大门。外面的人要通过大门进来你家,就要in;你家里面或者你家后花园送来的东西要从大门送到外面,就要out。 至于放在哪个位置,还是可以以门为例,比如ACL设在大门,那么经过大门的流量才受到影响,也就是说如果是从另一个门in或out则不受影响(比如从你家后门进来出去)。放哪个门(接口
vlanACL inbound与outbound详解
热门推荐
七夕小子的博客
07-22 2万+
关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置 ACL一般有两种应用场景:应用到交换机物理端口和应用到Vlan。 场景一:应用到交换机物理端口上的ACL 网络拓扑:PC连接在交换机Gig0/0/1端口 实现目的:在PC上不能访问某IP的80和443端口 解析: 站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机端口,那么ACL就应用到交换机物理...
思科VLAN下调用ACL怎么使用IN和OUT
qq_24328629的博客
07-23 3928
思科VLAN下调用ACL情况下IN和OUT的问题
Vlan ACL的IN和OUT的问题
weixin_34191734的博客
05-05 908
关于在vlan的接口上使用ACL配置的方向问题,在几个专业论坛里面看到经常有人提起。在这里我总结一下。还是举例说明吧。 1,拓扑图如: Host_A(1.1.1.1) <------> (1.1.1.2)E1:SW:E2(2.2.2.2) <------> (2.2.2.1)Host_B 需求(由于是说明ACL放置接口的方向问题,所以需求...
ACL的in和out图解(router或三层交换机)
wailaizhu的博客
02-18 4688
acl中in和out的区别。 标准访问控制列表只能抓原地址。 扩展访问控制列表可以抓原地址 端口 目的地址 端口。 a.举例 ip access-list 1 permit 192.168.11.2 如果这个时候应用在192.168.11.2所接的设备上,检测到这个原地址的数据包将被丢弃,不管去往哪里。 b.扩展访问控制列表可以抓原地址 端口 目的地址 端口。 用在源地址处,方向in将避免流量穿越网络,首先被拦截。 用在目的地址处,方向out 也能达到效果,流量穿越网络...
acl基本配置2练习2包括三层交换机的应用
04-04
例如,`interface FastEthernet0/1`进入接口配置,然后`ip access-group ACL_NAME in`或`ip access-group ACL_NAME out`将ACL应用到该接口。 4. **测试与验证**:配置完成后,使用`show ip access-list`命令查看ACL...
思科交换机acl应用要点1
08-03
在思科交换机上,ACLs通常是应用于接口,如`int vlan`接口,以控制数据包的流入(in)和流出(out)。 首先,了解ACL的默认行为非常重要。在配置ACL时,如果只包含一个`permit`语句,那么它只会允许该规则明确指定...
路由器防病毒ACL应用研究
05-29
3. **定义方向**:使用`ip access-group`命令设置ACL方向,即入站(in)或出站(out)。 例如,若要在快速以太网接口0/0上应用ACL,并允许所有源地址对特定IP地址192.168.49.8的访问,同时允许所有源地址对IP地址...
第18周实训 标准ACL实验 .ppt
04-19
- 应用ACL: 在接口应用ACL时使用`ip access-group <list-number> in/out`。 - **验证命令**: - 查看已配置的ACL: `display acl all` (华为设备) 或 `show ip access-lists` (Cisco设备)。 - 检查接口上的ACL应用...
华为交换机基于vlanacl配置方法
奇怪的老司机
02-29 1万+
acl 3001rule permit ip destination 192.168.1.1 0 source any设置要控制的IPtraffic-filter vlan 20 outbound acl 3001在vlan上应用acl 3001,需设置为outbound方向,inbound方向无效undo traffic-filter vlan 20 outbound acl 3001取...
cisco交换机通过acl控制vlan间互访
kepa520的博客
09-07 1万+
vlan10   192.168.1.0/24 vlan20   192.168.2.0/24 vlan30   192.168.3.0/24 vlan40   192.168.4.0/24 vlan50   192.168.5.0/24 vlan60   192.168.6.0/24 例如要实现vlan10和vlan20、vlan30、vlan40、vlan50之间不能互访,
ACL-in-out的区别
seaship的博客
01-10 6725
1.access-list 与ip access-list的区别 access-list 是用数字来定义----acl(标准或扩展ACL,用数字定义)  ip access-list 是用名字来定义acl(命名ACL 命名前面要加 standard or extended 2.应用在端口上的访问控制列表 1、如果在路由器R1上配置标准的访问控制列表,阻止PC1访问PC3,如配置的ACL为acce...
交换机调用ACL时候的inbound和outbound该怎么用?
NeverGUM的博客
04-09 2万+
我们知道,简单的ACL(访问控制列表)配置以后,通常在物理接口或者vlanif虚接口下调用,但是我们时常不明白,到底什么时候该用inbound,什么时候该用outbound,下面是我自己简单的理解。 一:物理接口下调用 [CORE1]acl 3001 [CORE1-acl-adv-3001]rule deny ip source 192.168.10.253 0 destinati...
关于ACL的IN和OUT
weixin_33904756的博客
11-27 414
理解:关于ACL中的IN和OUT,我的理解是进来和出去的流量。问题:如果按这种理解,A(S0)-----(S0)B(S1)-----(SO)C,如果我想只让A访问C,但C不能访问A。又结合ACL放置原则,标准访问控制列表尽量靠近目标地址的原则。将同一访问列表分别应用在B的两个端口之上的不同方向,S0用IN方向,S1用OUT方向。这样是可以实现我的要求的。可是实际应用中,是...
vlan acl 笔记
2201_76112071的博客
04-16 124
匹配机制 1、数据包到达接口后,会被检查,是否设置了ACL规则,如果设置了,就按ACL规则执行,如果没有设置就正常转 发 2、按照ACL的编号从上至下逐一匹配,直到有与之匹配规则出现 3、所有规则都不匹配,则执行默认动作,默认允许则允许,默认拒绝则丢弃。acl的分类 基本aclVLAN作用及特点 VLAN作用:将一个大的广播域划分成若干个小的广播域,减少了广播风暴的出现 VLAN特点:同一vlan内的主机可以相互通信,不同vlan内的主机没法通信,要想通信,必须借助三层 的设备。
华为路由器配置vlan并配置acl样例
03-30
以下是一个华为路由器配置VLAN并配置ACL的样例: 1. 配置VLAN interface vlanif 10 ip address 10.1.1.1 24 quit interface vlanif 20 ip address 10.1.2.1 24 quit 2. 配置ACL acl number 2001 rule 1 permit ip source 10.1.1.0 0.0.0.255 rule 2 deny ip source 10.1.2.0 0.0.0.255 rule 3 permit ip quit 3. 应用ACL interface gigabitethernet 0/0/1 port link-type access port default vlan 10 port access vlan 10 traffic-filter inbound acl 2001 quit interface gigabitethernet 0/0/2 port link-type access port default vlan 20 port access vlan 20 traffic-filter inbound acl 2001 quit 以上配置的含义是: 1. 创建两个VLANVLAN 10对应网段10.1.1.0/24,VLAN 20对应网段10.1.2.0/24。 2. 创建ACL 2001,允许VLAN 10的所有IP访问,拒绝VLAN 20的所有IP访问,同时允许其他IP访问。 3. 应用ACL 2001到两个接口,分别为GigabitEthernet 0/0/1和GigabitEthernet 0/0/2,用于限制该接口的数据流量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值