进入设备前ACL就起作用的设为in,进入设备后ACL才起作用的设为out。
你可以把设备想像成你家,ACL就是你家大门。外面的人要通过大门进来你家,就要in;你家里面或者你家后花园送来的东西要从大门送到外面,就要out。
至于放在哪个位置,还是可以以门为例,比如ACL设在大门,那么经过大门的流量才受到影响,也就是说如果是从另一个门in或out则不受影响(比如从你家后门进来出去)。放哪个门(接口)影响哪些流量,具体环境分析一下就清楚了。
A----路由F1口----路由F2口----B
你把ACL放在F1口 A的数据对于路由来说就是进来的 所有要用入口过滤
你把ACL放在F2口 A的数据对于路由来说就是出去的 所以要用出口过滤
------------------
注:在vlan间的acl中当源地址段为应用 vlan接口的ip段时,就是用in方向;
当目的地址段为应用vlan接口的ip段时,就是用out方向;
举例说明
Host 1.1.1.1 vlan10(1.1.1.2)SW vlan20(2.2.2.2) host 2.2.2.1
禁止host 1.1.1.1访问2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in
方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out
2. 应用到vlan上的ACL
实现:在vlan182的in方向上,只允许vlan182与主机10.10.10.89通讯,
理解:
把vlan的网关看作交换机的门。
交换机内部,报文在Vlan间由交换机L3转发引擎转发,不受ACL控制。所以,对于vlan182访问vlan221,只能控制vlan182的in方向
Vlan ACL 方向理解
Permit ip destination 10.10.10.89 0
Deny ip destination 10.0.0.0 0.255.255.255
Deny ip destination 172.16.0.0 0.25.255.255
Deny ip destination 192.168.0.0 0.0.255.255
Permit ip destination any
另一种写法:
应用到vlan的out方向,这里控制的是已经进入交换机的流量,因为正常通信的建立需要对方回包(小偷已经进到客厅了,但不让它从后门出去)。
使用标准acl即可:
Permit source10.10.10.89 0
Deny source 10.0.0.0 0.255.255.255
Deny source172.16.0.0 0.25.255.255
Deny source 192.168.0.0 0.0.255.255
Permit any
————————————————