ACL in 和 out 区别 （重要）

acl中in和out的区别

 

in和out是相对的,比如:

A(s0)-----(s0)B(s1)--------(s1)C

  www.2cto.com  

假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:

 

B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)

现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:

 

1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的

2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)

 

虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)

 

假设你要把铁门(ACL)安在C,那时候应该用in还是out呢?

这个问题留给你自己回答了,呵呵

 

相对于路由器的，穿过路由器的是out 即将进入的是in

扩展acl,要靠近源 ，标准acl靠近目标地址

 

实际上in和out的应用是很灵活的.

 

Vlan ACL in 和 out 区别 （重要）

进入设备前ACL就起作用的设为in，进入设备后ACL才起作用的设为out。
你可以把设备想像成你家，ACL就是你家大门。外面的人要通过大门进来你家，就要in；你家里面或者你家后花园送来的东西要从大门送到外面，就要out。
至于放在哪个位置，还是可以以门为例，比如ACL设在大门，那么经过大门的流量才受到影响，也就是说如果是从另一个门in或out则不受影响（比如从你家后门进来出去）。放哪个门（接口）影响哪些流量，具体环境分析一下就清楚了。

A----路由F1口----路由F2口----B

你把ACL放在F1口 A的数据对于路由来说就是进来的 所有要用入口过滤 
你把ACL放在F2口 A的数据对于路由来说就是出去的 所以要用出口过滤

------------------

注：在vlan间的acl中当源地址段为应用 vlan接口的ip段时，就是用in方向；

当目的地址段为应用vlan接口的ip段时，就是用out方向;

举例说明

Host 1.1.1.1     vlan10（1.1.1.2）SW vlan20（2.2.2.2）     host 2.2.2.1
禁止host 1.1.1.1访问2.2.2.1
方法 一
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 10
Ip access-list 100 in

方法 二
Access-list 100 deny ip host 1.1.1.1 host 2.2.2.1
Access-list 100 permit ip any any
Int vlan 20
Ip access-list 100 out