Vlan ACL的IN和OUT的问题

最新推荐文章于 2023-10-16 16:17:48 发布
转载 最新推荐文章于 2023-10-16 16:17:48 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/473655

本文通过两个示例场景详细解析了如何正确配置VLAN接口上的ACL方向,包括使用in和out方向的具体方法,并总结了一个实用的规律帮助理解。
关于在vlan的接口上使用ACL配置的方向问题,在几个专业论坛里面看到经常有人提起。在这里我总结一下。还是举例说明吧。
 
1,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)E1:SW:E2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int e2
ip access-group to_host_b out
这里可以明显的看出方向使用out方向,我知道ACL用在硬接口上面大家都很容易理解,一般都不会弄错。下面说明怎么理解ACL配置在vlan接口上。
 
2,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)vlan1:SW:vlan2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int vlan2
ip access-group to_host_b out
依然是out方向,其实很简单,大家只要将vlan的虚接口看作是硬接口就行了,不要想得太复杂。但是如果要放在vlan1的IN方向,ACL该怎么写呢?可以如下:
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
deny ip any host 2.2.2.1
per ip any any
int e1
ip access-group to_host_b in
 
其实很简单,有一个规律可以增加些理解:
针对某个vlan接口应用acl的方向问题,大家可以看看acl的源和目标地址段。当源地址段为应用vlan接口的ip段时,就是用in方向;当目的地址段为应用vlan接口的ip段时,就是用out方向。反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。









本文转自 chris_lee 51CTO博客,原文链接:http://blog.51cto.com/ipneter/75135,如需转载请自行联系原作者

ACL in out 区别 (重要)
weixin_33872566的博客
03-20 880
aclinout的区别 inout是相对的,比如: A(s0)-----(s0)B(s1)--------(s1)C www.2cto.com 假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子: B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C) 现在要拒绝小...
aclinout的区别
weixin_34162695的博客
03-29 258
inout是相对的,比如:A(s0)-----(s0)B(s1)--------(s1)C假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:1.在你家客厅(B)前门(B的s0)安个铁...
关于ACLinout的应用
weixin_33922672的博客
07-05 756
关于ACLinout的应用 介绍 R1 S1/1ip地址192.168.1.1lo0 1.1.1.1 R2 S1/0192.168.1.2 S1/1 192.168.2.1 R3 S1/0192.168.2.2 S1/1 192.168.3.1 以上所有路由运行r...
怎么配置 VLAN ACL,详细解答
06-10
其中,VLAN-ID 是要应用 VLAN ACLVLAN ID,VLAN-ACL-NAME 是要应用的 VLAN ACL 的名称,in out 表示该规则应用于数据包进入或离开该接口。 例如,如果要将 VLAN ACL 应用于 VLAN 10 接口的数据包进入方向,...
思科acl vlan间 不能互通配置.pdf
05-10
### 思科ACLVLAN间通信配置问题详解 #### 一、背景介绍 在网络管理与维护工作中,经常遇到不同VLAN之间的通信需求。VLAN(Virtual Local Area Network)技术可以将一个物理局域网分割成多个逻辑上的广播域,从而...
不允许VLAN 40VLAN 50 用户访问内网B业务,acl编号为2001
最新发布
07-21
首先,用户的问题是关于配置ACL规则来阻止VLAN 40VLAN 50访问内网B业务。用户指定了ACL编号2001。 从系统级指令中,我需要: - 所有行内数学表达式使用$...$格式。 - 独立公式使用$$...$$格式并单独成段。 - 确保...
锐捷交换机如何关闭vlan中的acl
04-19
若输出包含类似`ip access-group [ACL名称] in/out`的配置,说明ACL绑定在特定接口或VLAN虚拟接口上[^2][^4]。 --- #### **2. 关闭VLAN虚拟接口的ACL绑定** 如果ACL绑定在VLAN虚拟接口(如管理VLAN): ```cisco ...
Vlan ACL in out 区别
喝茶的小鸡
12-07 5764
进入设备前ACL就起作用的设为in,进入设备后ACL才起作用的设为out。 你可以把设备想像成你家,ACL就是你家大门。外面的人要通过大门进来你家,就要in;你家里面或者你家后花园送来的东西要从大门送到外面,就要out。 至于放在哪个位置,还是可以以门为例,比如ACL设在大门,那么经过大门的流量才受到影响,也就是说如果是从另一个门inout则不受影响(比如从你家后门进来出去)。放哪个门(接口
CCNA中网络地址转换NAT的三种类型
11-20
1、 静态NAT。这种NAT能够在本地地址全局地址之间进行一对一的映射。请记住,使用静态NAT时,必须为网络中的每台主机提供一个公有因特网IP地址。
ACLinout图解(router或三层交换机)
wailaizhu的博客
02-18 5285
aclinout的区别。 标准访问控制列表只能抓原地址。 扩展访问控制列表可以抓原地址 端口 目的地址 端口。 a.举例 ip access-list 1 permit 192.168.11.2 如果这个时候应用在192.168.11.2所接的设备上,检测到这个原地址的数据包将被丢弃,不管去往哪里。 b.扩展访问控制列表可以抓原地址 端口 目的地址 端口。 用在源地址处,方向in将避免流量穿越网络,首先被拦截。 用在目的地址处,方向out 也能达到效果,流量穿越网络...
思科VLAN下调用ACL怎么使用INOUT
qq_24328629的博客
07-23 4540
思科VLAN下调用ACL情况下INOUT问题
ACL-in-out的区别
seaship的博客
01-10 7175
1.access-list 与ip access-list的区别 access-list 是用数字来定义----acl(标准或扩展ACL,用数字定义)  ip access-list 是用名字来定义acl(命名ACL 命名前面要加 standard or extended 2.应用在端口上的访问控制列表 1、如果在路由器R1上配置标准的访问控制列表,阻止PC1访问PC3,如配置的ACL为acce...
ACL-VLANIF的InboundOutbound区别
Welcome To OpenClouds World !!!
10-16 7357
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用用来通过流量过滤。2、ACL分类(1)基本ACLACL编号2000-2999,只能用报文的源IP地址、分片时间生效时间段来定义规则;(2)高级ACLACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
ACL 匹配规则 in out 方向
yiluyangguang1234的专栏
06-28 1万+
1 试验目的 (注:华为默认最后未被匹配的路由都permit ,思科 默认最后都未被匹配的路由是deny) 测试ACL匹配原则 2 理解 outin  inout是相对的,比如: A(s0)-----(s0)B(s1)--------(s1)C  假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
vlanACL inbound与outbound详解
热门推荐
七夕小子的博客
07-22 2万+
关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置 ACL一般有两种应用场景:应用到交换机物理端口应用到Vlan。 场景一:应用到交换机物理端口上的ACL 网络拓扑:PC连接在交换机Gig0/0/1端口 实现目的:在PC上不能访问某IP的80443端口 解析: 站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机端口,那么ACL就应用到交换机物理...
acl方向
weixin_34378922的博客
05-19 391
对于acl方向问题,说句实话我也纠结了一天,看了好多别人写的文章,可是总是觉得还是要想向一下,我是做锐捷的,悲剧可是我是学思科出身的,对于锐捷的比较bt,他只是支持in方向的调用,可是思科的是全部支持的啊,对于方向问题,我们想象一下,假设有三个vlanvlan 10.vlan20.vlan30.现在要vlan 10不能访问vlan 20.vlan30,但是只能限制在i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值