标准IP ACL入方向

网络工程 思科 ACL
2021-08-01 04:11:25

标准ACL的命令语法格式为

access-list access-list-number {permit|deny} {host|source source-wildcard|any}.

这是使用标准 ACL 来阻止除来自源 10.1.1.x 之外的所有流量的示例。

interface Ethernet0/0 
ip address 10.1.1.1 255.255.255.0 
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255

我有一个问题:如果标准 ACL 应用于更接近目的地的接口,我想它们总是应用于出站方向。我错了或者它们可以应用于入站方向的哪些情况?

1个回答

方向始终参考路由器本身。在您的示例中,您已在 E0/0 上应用了入站 ACL。因此,ACL 适用于从源进入 E0/0 路由器的流量。

您应用 ACL 的方向取决于您尝试执行的操作。但一般情况下,最好尽可能靠近源进行过滤。允许流量流经网络是没有意义的,只是最终将其丢弃在目的地。

例外情况是允许流量到达一个目的地,但不允许到达另一个目的地。如果在您的示例中,源连接到 E0/0,并且您在 E0/1 和 E0/2 上有两个目的地,其中源可以与 E0/1 通话,但不能与 E0/2 通话。在这种情况下,您会将 ACL 出站放在 E0/2 上。

或者,您可以在 E0/0 上使用扩展 ACL 入站访问,以阻止 E0/2 上的目的地。

其它你可能感兴趣的问题
上一篇如何使用 cisco 路由器在棒上配置路由器 下一篇互联网协议。源路由。RFC 791。源路由选项中的地址是否为 1 索引?