路由器in and out解释

最新推荐文章于 2023-04-26 17:56:42 发布
最新推荐文章于 2023-04-26 17:56:42 发布
阅读量1.3k 收藏
点赞数
分类专栏: 网络 文章标签: 路由器 c

困扰了很久的IN和OUT..91LAB上面看到一个很形象的比喻,摘抄出来:


in和out是相对的,比如:
A(s0)-----(s0)B(s1)--------(s1)C
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的
2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)
虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
假设你要把铁门(ACL)安在C,那时候应该用in还是out呢?
这个问题留给你自己回答了,呵呵
实际上in和out的应用是很灵活的

 

注意:这里的in/out都是站在路由器或三层模块(以后简称R)上看的,in表示从该接口进入R的包,out表示从该接口出去的包。

其他:

access-list 1 permit host 10.1.6.66
line vty 0 4(部分设备是15)
access-class 1 in
这样就行了,telnet都是访问的设备上的line vty,在line vty下面使用access-class与ACL组进行关联,in关键字表示控制进入的连接。


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/9800/showart_398541.html

zhjcyn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
路由器配置实例--100例
04-17
一、 路由器网络服务安全配置 1 禁止CDP(Cisco Discovery Protocol)。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2 禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3 禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4 建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。 5 禁止BOOTp服务。 Router(Config)# no ip bootp server 6 禁止IP Source Routing。 Router(Config)# no ip source-route 7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。 Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 8禁止IP Directed Broadcast。 Router(Config)# no ip directed-broadcast 9 禁止IP Classless。 Router(Config)# no ip classless 10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。 Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply 11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如: Router(Config)# no snmp-server community public Ro Router(Config)# no snmp-server community admin RW 12 如果没必要则禁止WINS和DNS服务。 Router(Config)# no ip domain-lookup 如果需要则需要配置: Router(Config)# hostname Router Router(Config)# ip name-server 219.150.32.xxx 13 明确禁止不使用的端口。如: Router(Config)# interface eth0/3 Router(Config)# shutdown二、路由器访问控制的安全配置(可选) 路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。 1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 2 严格控制CON端口的访问。 配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list 1 permit 192.168.0.1 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeoute 5 0 Router(Config-line)#access-class 1 in Router(Config-line)#end 同时给CON口设置高强度的密码。 3 如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如: Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 4 建议采用权限分级策略。如: Router(Config)#username test privilege 10 xxxx Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 5 为特权模式的进入设置强壮的密码。不要采用enab
网络层访问权限控制技术-ACL详解
lanndmentt的专栏
11-14 1887
技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。  A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机
标准的访问控制列表的配置
KingXai的专栏
10-15 2447
前提(先进入全局配置模式下) access–list 11 deny/permit 192.168.1.12 0.0.0.255    192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准的访问控制列表的编号 ip access–group 11 in/out 前提(先进入接口配置模式下)     in为进方向out为出方向,缺省下为出方向 1
access-group和access-class的区别几用法
weixin_34303897的博客
02-10 3566
当你配置好ACL之后,想把ACL应用到某个接口下,如Ethernet,FastEthernet,等等物理接口下,那么需要用access-group 如果你想把ACL应用到VTY的接口下用于对网络设备的访问控制,那么就需要用access-class vty下: access-list 1 permit 10.110.1.111 line vty 0 4 acces...
第八章:ACL 路由器的访问控制列表
JaweG
07-06 1392
怎么配置标准的ACL(访问控制列表) ACL作用 路由器的访问控制列表ACL的作用是(B)   A. ACL可以监控交换的字节数   B. ACL提供路由过滤功能   C. ACL可以检测网络病毒       D. ACL可以提高网络的利用率     通过路由器提供的访问控制列表可以根据一些准则过滤不安全的数据包,如攻击包、病毒包等,以保证网络的可靠性和安全性。ACL适合于所有网络层协议,如IP/...
access-group和access-class的区别
weixin_34240657的博客
11-20 1582
ip access-group用在接口下;access-class用在VTY线下 access-class命令前面没有“ip” 例子: 先配置access-list: access-list 1 permit host 192.168.1.1 access-list 1 permit host 192.168.2.1 情况一:line vty 0 4(最多允许5...
ACL的in和out图解(router或三层交换机)
wailaizhu的博客
02-18 4213
acl中in和out的区别。 标准访问控制列表只能抓原地址。 扩展访问控制列表可以抓原地址 端口 目的地址 端口。 a.举例 ip access-list 1 permit 192.168.11.2 如果这个时候应用在192.168.11.2所接的设备上,检测到这个原地址的数据包将被丢弃,不管去往哪里。 b.扩展访问控制列表可以抓原地址 端口 目的地址 端口。 用在源地址处,方向in将避免流量穿越网络,首先被拦截。 用在目的地址处,方向out 也能达到效果,流量穿越网络...
understanding linux network internals
08-30
Repeaters, Bridges, and Routers 中继器,网桥和路由器 Section 14.2. Bridges Versus Switches 网桥与交换机 Section 14.3. Hosts 服务器 Section 14.4. Merging LANs with Bridges 聚合LAN和网桥 Section ...
Ka-tan:与朋友一起玩CatanⓇ的共享董事会
02-03
If you want to try it out real quick, launch the server and put in http://127.0.0.1:3000 in the client 向所有人发送链接。 请享用! 控制项 触摸界面。 您可以拖动碎片,强盗四处走动。 要旋转道路,只需...
CISCO 技术大集合
05-22
and when using older software and some boot images. Enter enable password: pass 4.设置虚拟终端访问时的密码: Enter virtual terminal password: cisco 5.询问是否要设置路由器支持的各种网络协议: ...
举例说明.net中in与out的作用与区别
最新发布
wangwengrui40的博客
04-26 742
在 .NET 中,in 和 out 是用于泛型类型参数的修饰符,它们用于指定参数类型的协变性和逆变性。- in 修饰符:表示这个泛型类型参数是协变的。也就是说,in 类型参数可以从较特殊的类型隐式转换为较通用的类型。在上面的例子中,`TakeAnimals` 方法接受一个 `IEnumerable<in IAnimal>` 参数,这意味着我们可以将其传递给一个类型为 `IEnumerable<Dog>` 的变量。- out 修饰符:表示这个泛型类型参数是逆变的。
云计算学习笔记——访问控制列表(ACL)
11-19 2394
第十一章访问控制列表(ACL) 学习目标:理解ACL的基本原理会配置标准ACL 会配置扩展ACL 会配置命名ACL能够综合应用ACL 一、ACL概述 访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表(规则),用来告诉路由器,哪些数据包可以接收,哪些需要拒绝。基本原理:使用包过滤技术,在...
CCNA-ACL实验(标准ACL,扩展ACL,命名ACL,基于时间ACL,动态ACL,自反ACL)
weixin_34418883的博客
09-19 503
ACL 随着大规模开放式网络的开发,网络面临的威胁也就越来越多。网络安全问题成为网络管理员最为头疼的问题。一方面,为了业务的发展,必须允许对网络资源的开发访问,另一方面,又必须确保数据和资源的尽可能安全。网络安全采用的技术很多,而通过访问控制列表(ACL)可以对数据流进行过滤,是实现基本的网络安全手段之一。本章只研究基于IP的ACL。 ACL 概述 访问控...
【原创】大数据基础之Logstash(3)应用之http(in和out)
weixin_30414635的博客
03-19 300
一个logstash很容易通过http打断成两个logstash实现跨服务器或者跨平台间数据同步,比如原来的流程是 logstash: nginx log -> kafka 打断成两个是 logstash1: nginx log -> http out logstash2: http in ->kafka 具体如下 http out fi...
Cisco交换机常用配置命令总结
weixin_34166472的博客
11-12 318
1:配置VLAN 理解VLAN: 一个VLAN就是一个交换网,其逻辑上按功能、项目、应用来分而不必考虑用户的物理位置。任何交换口都可以属于某一VLAN, IP包、广播包及组播包均可以发送或广播给在此VLAN内的最终用户。每一个VLAN均可看成是...
VTY访问权限配置
热门推荐
xuzhengzheng32的专栏
10-21 2万+
定义 VTY(Virtual Teletype Terminal)虚拟终端,一种网络设备的连接方式(A command line interfacecreated in a router for a Telnet session. The router is able to generate a VTY dynamically. ) 2应用领域 在电信运营商的设备维护领域应用
路由器IP访问控制列表的功能及其配置命令
愚 公
05-20 1万+
路由器IP访问控制列表(Access Control List,ACL)        通过路由器提供的访问控制列表可以根据一些准则锅炉不安全的数据包,如攻击包、病毒包等,以保证网络的可靠性和安全性。ACL适合于所有网络层协议,如IP/IPX/AppleTalk等协议。ACL的定义也是基于每一种协议的,但实际网络应用中,特别是在Internet上,都使用TCP/IP协议,因此基于IP协议的AC
SWITCH 命令大全
03-25 1027
1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switch(enable) set system name name-string 2.在基于IOS的交换机上设置登录口令: switch(config)# enable password level 1 password 在基于CLI的
思科路由器c7200接口类型及解释
04-12
思科路由器C7200的接口类型包括Serial、Ethernet、ATM、Token Ring等,Serial接口是通过串口来进行连接的,Ethernet接口是通过网络线进行连接的,ATM接口是通过Asynchronous Transfer Mode技术来进行连接的,Token ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值