ACL 匹配规则 in out 方向

1 试验目的 （注：华为默认最后未被匹配的路由都permit ，思科 默认最后都未被匹配的路由是deny）

测试ACL匹配原则

2 理解 out 与in 

in和out是相对的,比如:

A(s0)-----(s0)B(s1)--------(s1)C

 假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:

 

B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)

现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:

 

1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的

2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)

 

虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)

 

假设你要把铁门(ACL)安在C,那时候应该用in还是out呢?

这个问题留给你自己回答了,呵呵

 

相对于路由器的，穿过路由器的是out 即将进入的是in

扩展acl,要靠近源 ，标准acl靠近目标地址 

实际上in和out的应用是很灵活的.

3 试验拓扑

具体接口配置如拓扑所示

3.1 配置实例与结果

在router 0上配置ACL 应用到Fa0/0接口

access-list 20 permit host 172.16.30.3 

interface FastEthernet0/0

ip address 172.16.30.1 255.255.255.0

duplex auto

speed auto

ip access-group 20 in 

则 只有172.16.30.3 的主机能够访问 192.168.10.2 的主机，172.16.30.2 的主机不能访问。

3.2 配置实例与结果

在router 0上配置ACL 应用到Fa0/1接口

access-list 20 permit host 172.16.30.3 

interface FastEthernet1/0

ip address 192.168.10.1 255.255.255.0

ip access-group 20 in （在该接口本应该为out ,配置为in 后 对应的控制方向就是控制源地址192.168.10.2的路由，而access-list中配置源为172.16.30.3 显然不匹配

故PC1(IP为192.168.10.1 )出去的流量都被拒绝）

duplex auto

speed auto

则 PC1(IP为192.168.10.1 )ping PC0 与Laptop0都不通。

3.3 配置实例与结果

在router 0上配置ACL 应用到Fa0/1接口

access-list 20 permit host 172.16.30.3

access-list 20 permit host 192.168.10.2

interface FastEthernet1/0

ip address 192.168.10.1 255.255.255.0

ip access-group 20 in 

放开源 192.168.10.2 后， PC1(IP为192.168.10.1 )ping PC0 与Laptop0都通。