Vlan ACL的IN和OUT的问题
2010-11-05 23:32
239 查看
今天工作中遇到了VLAN ACL上面的配置问题,故此博文发布,留一个学习的记忆。
以下用举例说明。
1,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)E1:Switch:E2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在Switch上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int e2
ip access-group to_host_b out
这里可以明显的看出方向使用out方向,我知道ACL用在硬接口上面大家都很容易理解,一般都不会弄错。下面说明怎么理解ACL配置在vlan接口上。
2,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)vlan1:Switch:vlan2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在Switch上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int vlan2
ip access-group to_host_b out
依然是out方向,其实很简单,大家只要将vlan的虚接口看作是硬接口就行了,不要想得太复杂。但是如果要放在vlan1的IN方向,ACL该怎么写呢?可以如下:
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在Switch上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
deny ip any host 2.2.2.1
deny ip any any
int e1
ip access-group to_host_b in
其实很简单,有一个规律可以增加些理解:
针对某个vlan接口应用acl的方向问题,大家可以看看acl的源和目标地址段。当源地址段为应用vlan接口的ip段时,就是用in方向;当目的地址段为应用vlan接口的ip段时,就是用out方向。反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。
以下用举例说明。
1,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)E1:Switch:E2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在Switch上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int e2
ip access-group to_host_b out
这里可以明显的看出方向使用out方向,我知道ACL用在硬接口上面大家都很容易理解,一般都不会弄错。下面说明怎么理解ACL配置在vlan接口上。
2,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)vlan1:Switch:vlan2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在Switch上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int vlan2
ip access-group to_host_b out
依然是out方向,其实很简单,大家只要将vlan的虚接口看作是硬接口就行了,不要想得太复杂。但是如果要放在vlan1的IN方向,ACL该怎么写呢?可以如下:
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在Switch上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
deny ip any host 2.2.2.1
deny ip any any
int e1
ip access-group to_host_b in
其实很简单,有一个规律可以增加些理解:
针对某个vlan接口应用acl的方向问题,大家可以看看acl的源和目标地址段。当源地址段为应用vlan接口的ip段时,就是用in方向;当目的地址段为应用vlan接口的ip段时,就是用out方向。反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。
相关文章推荐
- Vlan ACL的IN和OUT的问题
- 润乾报表索引中丢失 IN 或 OUT 参数问题
- 2012.10.3 阶乘问题(fact.pas/in/out)
- acl中in和out的区别
- "java.sql.SQLException: 索引中丢失 IN 或 OUT 参数:: 12"异常问题的解决
- 几天前在论坛中看到一个帖子,标题是“987分飘过,栽在ACL in/out~ ”。
- “索引中丢失 IN 或 OUT 参数”问题解决办法
- Tomcat溢出问题Exception in thread "http-apr-8080-exec-8" java.lang.OutOfMemoryError: PermGen space
- 总结2113. 【2016-12-17普及组模拟】括号问题 (File IO): input:bracket.in output:bracket.out 时间限制: 1000 ms 空间限制: 2
- SharpMap AjaxMapControl 中 Zoomin/Zoomout 操作时冻结问题
- R语言-Error in file(out, "wt") : 无法打开链结问题解决
- acl中in和out的区别
- JAVA IO操作中的IN和OUT问题
- acl的in和out
- "Out of memory in function ..." 问题 的解决之道
- JAVA IO操作中的IN和OUT问题
- Focus问题终结帖,setFocus, focusInEvent,focusOutEvent
- 关于cisco网络设备访问控制列表ACL中IN、OUT的理解
- Verilog inout 的问题
- 关于LWIP在应用中遇到的一个问题memp_malloc: out of memory in pool TCP_PCB