1、如果在路由器R1上配置标准的访问控制列表,阻止PC1访问PC3,如配置的ACL为access-list 1 deny 192.168.1.254 0.0.0.0 access-list 1 permit any。如果将此访问列表应用到f0/1接口int f0/1
ip access-group 1 (in/out)不管此处是in还是out PC1都将无法访问PC2,但是这两种情况下,数据包被阻止的情况不一样,如果应用的是 ip access-group 1 out,那么从PC1传送出来的数据包,只能传到f0/1接口,但不能通过此接口,因为此时访问列表将PC1发送的数据包给阻止了。
但是如果应用的是 ip access-group 1 in应用到f0/1接口的,那么从PC1传输的数据包可以通过f0/1接口到达PC2,但是,此时从PC2返回给PC1的流量将无法通过f0/1,因为此时f0/1的的访问列表应用的是in(即入口访问方式),所以进入该接口的数据包将会被阻止。
2、但是如果此处用的不是标准的访问控制列表(即使用的是扩展的访问控制列表),情况将会有有所不同。
如 access-list 100 deny ip host 192.168.1.254 host 192.168.2.254 access-list 100 permit ip any any 如果将此访问控制列表应用在f0/1接口下,如 int f0/1 ip access-group 100 (out/in)此处只有是使用的是out时,才能阻止PC1访问PC2,因为但PC1发送的数据包到达f0/1接口时,就被访问控制列表所阻止了,所以无法到达目的主机PC2。
但是如果使用的是ip access-group in应用在f0/1接口下,PC1 的数据包将能通过f0/1的接口到达PC2,也许此有人会认为,PC1的数据包能通过f0/1,但是PC2返回给PC1 的数据包通不过f0/1的,因为f0/1应用的是in,可以阻止进入的流量,但是你有没有考虑到此时,从PC2返回的给PC1的数据包的源地址和目的地址是什么,(此时返回的源地址是PC2的IP地址,目的地址是PC1的IP地址),而应用在F0/1的ACL的阻止的源地址是PC1的IP地址,目的地址是PC2的IP地址,所以当将返回给PC1的数据包的源地址和目的地址与ACL中阻止的地址相比较的时候,根本就没有匹配的,所以数据包就可以通过f0/1了。
in是数据流进入设了ACL这台路由器进行检测out是数据流要出路由器时进行检测在R2与R3连接的端口设in的ACL或在R2与R1连接的端口设out的ACL可以实现
既然是拒绝访问 直接在r2连接r3的端口上做in的acl就成
进入设备前ACL就起作用的设为in,进入设备后ACL才起作用的设为out。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024