请问ip access-group number in/out中的in/out怎么理解

发布网友 发布时间：2022-05-02 10:33

我来回答

共7个回答

懂视网 时间：2022-05-04 14:29

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入 一直以为自己对这个ip access-group num in | out 应用很理解,当自己做实验分析的时候分现很模糊,以下是认真的分析总结: 首先： 路由器每个接口应用ACL是针对每个数据包的过滤，三层是IP数据包，

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入

　　一直以为自己对这个ip access-group num in | out 应用很理解,当自己做实验分析的时候分现很模糊,以下是认真的分析总结:

　　首先：

　　路由器每个接口应用ACL是针对每个数据包的过滤，三层是IP数据包，二层是数据帧MAC

　　路由器对自己内部产生的数据不会起作用

　　in就是路由器接口收到的数据，out就是路由器接口离开的数据

　　站在路由器的角度，路由器只能是一个接口in，从另一个接口out(不会是从一个接口in，又从这个接口out)

　　（有一个很恶心的比喻：人是router吃是in大便是out）

　　如下图：一个纯LAN的网络,在R1的f0/0应该ip access-group /out

　　!

　　interface FastEthernet0/0

　　ip address .1 255.255.255.0

　　ip access-group 1 out

　　duplex auto

　　speed auto

　　!

　　access-list 1 deny .2

　　access-list 1 permit .3

　　如果：ACL在接口out方向不起数据包过滤的作用

　　R1#ping .2

　　Type escape sequence to abort.

　　Sending 5, 100-byte ICMP Echos to .2, timeout is 2 seconds:

　　!!!!!

　　Success rate is 100 percent (5/5), round-trip min/avg/max = 8/44/136 ms

　　R1#ping .3

　　Type escape sequence to abort.

　　Sending 5, 100-byte ICMP Echos to .3, timeout is 2 seconds:

　　!!!!!

　　Success rate is 100 percent (5/5), round-trip min/avg/max = 12/43/136 ms

　　分析为什么:在R1路由器产生ping .2的数据包，源地址12.1.1.1，目的地址12.1.1.2但由于是路由器自己产生的数据包在接口上不起作用，所以相对f0/0的out方向不起作用。看回的ping包,从R2路由器产生回包,源地址12.1.1.2,目的地址12.1.1.1相对R1的f0/0接口是in方向，但没做in方向的数据过滤,同理ping 12.1.1.3也通

　　!

　　interface FastEthernet0/0

　　ip address .1 255.255.255.0

　　ip access-group

　　duplex auto

　　speed auto

　　!

　　相反在f0/0接口上起in方向的数据过滤结果:

　　R1#

　　R1#ping .1

　　Type escape sequence to abort.

　　Sending 5, 100-byte ICMP Echos to .1, timeout is 2 seconds:

　　....

　　Success rate is 0 percent (0/4)

　　R1#ping .2

　　Type escape sequence to abort.

　　Sending 5, 100-byte ICMP Echos to .2, timeout is 2 seconds:

　　...

　　Success rate is 0 percent (0/3)

　　R1#ping .3

　　Type escape sequence to abort.

　　Sending 5, 100-byte ICMP Echos to .3, timeout is 2 seconds:

　　!!!!!

　　Success rate is 100 percent (5/5), round-trip min/avg/max = ms

　　结果分析：R1路由器自己产生数据包ping .2 源地址：12.1.1.1，目的地址：12.1.1.2，相对f0/0接口数据发送出去,但是内部自己产生的数据包不起作用，所以发送成功，看回的数据包,R2产生回的数据包,源地址:12.1.1.2，目的地址:12.1.1.1到达R1的f0/0接口相对R1路由器f0/0就是为in方向这时作用ACL过滤，过滤掉源为12.1.1.2的地址，所以不成功

　　相反，源地址.3满足ACL,所以ping通.

　　总之，访问列表设计为过滤通过路由器的流量，但不过滤路由器产生的流量。

热心网友 时间：2022-05-04 11:37

考虑如下场景：假设vlan 10 有 int g0/1 和g0/2两个端口，下面接的终端IP是192.168.0.1和0.2，我们写如下acl：acl demo，deny 192.168.0.0 0.0.0.255 any，目的是想要拒绝这两台电脑给别的IP发包。然后再vlan10的SVI应用ip access-group demo in，就达到了目的。如果用ip access-group demo out就没任何作用。原因是in 是指当两台电脑的数据包上传到g0/1和g0/2这两个端口的时候应用acl，而out是别处的数据包从g0/1和g0/2下发给两台电脑的时候应用acl。
当别人的数据下发给两台电脑的时候，拒绝两台电脑给别的Ip发包有什么意义呢？

热心网友 时间：2022-05-04 12:55

客户端 —— (fa0/0) 路由器 (fa0/1) —— 服务器客户端访问服务器的HTTP(80端口)，那对于这次访问，fa0/0就是in方向，fa0/1就是out方向，目的端口都是80

热心网友 时间：2022-05-04 14:30

in /out 就是你的访问控制列表，用在数据向核心走的口 （IN） ，还是数据向外走的（OUT）

热心网友 时间：2022-05-04 16:21

很好理解呀！就是做公交车一样，上车和下车，明白不？

热心网友 时间：2022-05-04 18:29

还是看不懂，你们都那样说的不清不楚的，似是而非有些地方看起来好像是对了，但有些地方看起，好像又是错了真希望有机会与你讨论下，更准确是像让你教导我一下

热心网友 时间：2022-05-04 20:54

哈哈跟我之前一样的疑惑,不过我是懂明白了.你可以在论坛上搜索下.好多你这样的问题.因为很多都是我的问的...........