交换机调用ACL时候的inbound和outbound该怎么用?
我们知道,简单的ACL(访问控制列表)配置以后,通常在物理接口或者vlanif虚接口下调用,但是我们时常不明白,到底什么时候该用inbound,什么时候该用outbound,下面是我自己简单的理解。
一:物理接口下调用
[CORE1]acl 3001
[CORE1-acl-adv-3001]rule deny ip source 192.168.10.253 0 destination 192.168.10.
252 0
[CORE1-acl-adv-3001]quit [CORE1]interface GigabitEthernet 0/0/2
[CORE1-GigabitEthernet0/0/2]display this
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 10traffic-filter outbound acl 3000
#
[CORE1-GigabitEthernet0/0/2]traffic-filter inbound acl 3001
[CORE1-GigabitEthernet0/0/2]
我们总是要结合源地址和目的地址来分析,先看ACL,ip soure 192.168.10.0的网段,如果在G0/0/2接口调用,就是入方向,也就是inbound。因为源地址和我终端的接口是一致的,所以我数据要通过接口去访问其他端口。
如果outbound方向呢?如果我想调用在G0/0/3下面呢?
现在我们更改策略,然后在G0/0/3下outbound方向调用,结果也是可以的 。
为什么会这样呢?
总结
我们虽然改变了端口,改变了inbound或者outbound,但是策略没变。这是根本原因,也就是说破判断这个流量出入方向我们总是结合源地址和目的地址来看的。
ACL是这样的:
rule 5 deny ip source 192.168.10.253 0 destination 192.168.10.252 0
在G 0/0/2下面,2端口的终端也是源地址,那么我的终端通过我这个2接口这里过滤,那么就是inbound。
在G0/0/3下面,我变了出方向,但是规则,还是源地址这个访问目的这个,也就是只有出方向的时候,还是源地址访问这个目的地址才会被过滤。其实和inbound还是一样的。
只有10.253访问10.252的时候,在G2端口是数据进入的方向,在G3反而是出的方向,所以使用outbound。
二:vlanif下调用
vlanif下调用其实和物理端口调用有异曲同工之妙,不同vlan隔离互访的时候,
举个简单例子,有两个vlan,10,20,假如地址分别是10.1 20.1
规则是,rule deny ip sou 10.1 dest 20.1
在vlan10下面调用就是inbound
相反,想实现同样的目的,规则不变的情况下,我们在vlan20下面调用就是outbound。
你看,也是结合源和目的来看的,
vlan10下面调用,源地址也是10.1,所以是inbound
vlan20下面调用,源地址还是10.1,所以是outbound(因为只有源是10.1访问目的20.1,在vlan20那侧,才算是出方向)
成果
有以下规则,我们还是依然根据源地址和目的来判断
一:调用acl的源和目的地址全是一个网段的时候,且只有ACL中,只有source或者只有destnation时,如下。
rule 5 deny ip source 192.168.10.0 0.0.0.255
rule 10 deny ip destination 192.168.10.0 0.0.0.255
此时,无论在哪个接口,哪个vlanif下调用,inbound和outbound都可以实现访问控制
二:源和目的不是同一个网段的时候,且只有ACL中,只有source或者只有destnation时,举个例子
rule 5 deny ip source 192.168.10.0 0.0.0.255
//如果调用在10网段所属的vlan或者接口下,那么就是inbound
//如果调用在其他网段,都是outbound
rule 10 deny ip destination 192.168.20.0 0.0.0.255
//如果调用在20网段所属的vlan或者接口下,那么就是outbound
//如果调用在其他不论哪个网段,都是inbound
三:含有源地址和目的地址的acl规则,我们就按他的出入方向来判断调用的方向即可。
交换机调用ACL时候的inbound和outbound该怎么用?相关推荐
- 如何在判断华为华三交换机ACL里面的inbound和outbound方向
前言: 我们经常在交换机和路由等网络设备做一些报文过滤的操作,也就是访问控制列表ACL,在接口调用(华为)或者在vlanif下调用(华三)经常会遇到这种头疼的问题,调用在outbound方向,还是in ...
- H3C 交换机使用ACL限制非法用户通过Telnet登录控制台
前景提示 为了方便管理,企业交换机都会设置Telnet远程登录,以此来通过合法用户和密码登录交换机控制台,进行各类配置命令操作.交换机开启了Telnet功能后,默认所有ping通网关地址的PC均可以通 ...
- 华为S5720交换机通过ACL限制VLAN之间的访问
华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan 通过traffic-filter调用 <Huawei>sys [Huawei]acl 3 ...
- 华为交换机配置ACL
一.创建ACL acl 3050 rule 5 deny tcp source 10.1.0.100 0 destination 192.168.40.15 0 destination-port e ...
- 中兴交换机创建acl操作以及引用至端口操作方式
中兴交换机创建acl操作以及引用至端口操作方式 说明 本操作笔记针对中兴ZXR10 3952A型号的老交换机. 操作步骤 中兴交换机和思科交换机操作方式类似 首先使用enable命令进入特权模式,在这 ...
- 交换机S5720外网断开两次(12月1日,11月27日),关闭auto-port-defend功能,仅开启auto-defend。针对信任的IP,acl放通,然后在策略里面调用ACL
最近外网经常断开,无法追溯到问题在哪.但是发现了一个不正常的情况.就是交换机auto-port-defend和auto-defend都开启了.需要关闭auto-port-defend(否则两个会冲突) ...
- 华为交换机通过ACL限制登录telnet账户为指定IP地址
公司可能为了安全考虑,只允许IT管理员的IP地址登录到此交换机.那么该怎么实现呢? 实现步骤 1:设置ACL 2:在虚拟接口telnet下调用基本ACL. ACL可以这样写. #acl 2000//2 ...
- H3C交换机配置ACL禁止vlan间互访
1.先把基础工作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端口都正确.假设10个VLAN的地址分别是192.168.10.X,192.168.20.X......192.168 ...
- pcie inbound、outbound及EP、RC间的互相訪问
Inbound:PCI域訪问存储器域 Outbound:存储器域訪问PCI域 RC訪问EP: RC存储器域->outbound->RC PCI域->EP PCI域->inbou ...
最新文章
- vs2008 ActiveX控件测试容器的生成以及调试ActiveX控件
- 以简求快--java快速开发框架
- Linux负载均衡--LVS(IPVS)
- Spark 1.1.1 Programing Guide
- UDP成为低延时流媒体关键 选SRT还是QUIC?
- 2017年 JavaScript 框架回顾 -- React生态系统
- VC编程实现IE风格的界面
- GDOI2020游记
- 不服气不行,同样是码农,字节程序员的年薪居然达247万
- TensorFlow 深入MNIST
- VUE+axios+php实现图片上传
- Confluence 持续集成平台部署记录
- Hive thrift服务(将Hive作为一个服务器,其他机器可以作为客户端进行访问)
- 每日算法系列【LeetCode 309】最佳买卖股票时机含冷冻期
- 计算机网络数据链路层之其基础概述
- PHP面向对象6之工具-魔术方法
- 如何使用SPSS进行判别分析
- VMware Workstation的彻底清除 与 VMware Workstation下载安装图文教程
- 使用IDEA连接hbase数据库
- java hotmail日历,我用java写的日历