关于ACL的in和out的应用

关于ACL的in和out的应用

介绍    www.2cto.com  

R1    S1/1 ip地址192.168.1.1 lo0     1.1.1.1

R2    S1/0 192.168.1.2        S1/1    192.168.2.1

R3    S1/0 192.168.2.2        S1/1    192.168.3.1

以上所有路由运行rip 全网互通

要求R1的lo0 （1.1.1.1）网段不能访问R3 

法一：在R2上 应用 OUT

access-list 1 deny   1.1.1.0 0.0.0.255

access-list 1 permit any

interface Serial1/1

 ip address 192.168.2.1 255.255.255.0

 ip access-group 1 out

此时用 ping 192.168.3.1 source 1.1.1.1 不通 可以ping通192.168.1.2

法二：在R2上 应用 IN

access-list 1 deny   1.1.1.0 0.0.0.255

access-list 1 permit any

interface Serial1/0

 ip address 192.168.1.2 255.255.255.0

 ip access-group 1 in

此时用 ping 192.168.3.1 source 1.1.1.1 不通

以上说明in方向是在进的方向就用acl规则做匹配   而out则是在出方向做匹配(有一说是out进路由后先看路由表再匹配acl，这样可能加重设备负担）

ACL不过滤自己本地产生的流量 for ex

1.1.1.1 Lo0--R1--S1/1------------------------S1/0--R2—Lo0 2.2.2.2

OUT的应用在R1上

Access-list 1 deny 1.1.1.0 0.0.0.255

Access-list 1 permit any

Int s1/1

Ip access-group 1 out

 .

Ping 192.168.2.1soure 1.1.1.1 是可以通的

 ping 192.168.2.1 也是可以通的

∴ACL不过滤自己本地产生的流量 因为1.1.1.0 是自己产生的流量

但是要注意区分以下场景防止混淆！

在R1上应用in

access-list 1 deny   192.168.2.0 0.0.0.255

access-list 1 permit any

interface Serial1/1

 ip address 192.168.1.1 255.255.255.0

 ip access-group 1 in

R1 ping 192.168.2.1  是不通的 因为192.168.2.0不是自己产生的