ACL访问控制列表应用时in和out的区别
1、如果在路由器R1上配置标准的访问控制列表，阻止PC1访问PC3，如配置的ACL为access-list 1 deny
192.168.1.254 0.0.0.0 access-list 1 permit any。如果将此访问列表应用到f0/1接口int
&ip access-group 1 (in/out)不管此处是in还是out
PC1都将无法访问PC2，但是这两种情况下，数据包被阻止的情况不一样,如果应用的是 ip access-group 1
out，那么从PC1传送出来的数据包，只能传到f0/1接口，但不能通过此接口，因为此时访问列表将PC1发送的数据包给阻止了。
但是如果应用的是&ip access-group 1
in应用到f0/1接口的，那么从PC1传输的数据包可以通过f0/1接口到达PC2，但是，此时从PC2返回给PC1的流量将无法通过f0/1，因为此时f0/1的的访问列表应用的是in（即入口访问方式）,所以进入该接口的数据包将会被阻止。
2、但是如果此处用的不是标准的访问控制列表（即使用的是扩展的访问控制列表），情况将会有有所不同。
如& access-list 100 deny ip host
192.168.1.254 host
192.168.2.254&&
access-list 100 permit ip any any
如果将此访问控制列表应用在f0/1接口下,如& int
ip access-group 100
（out/in）此处只有是使用的是out时，才能阻止PC1访问PC2，因为但PC1发送的数据包到达f0/1接口时，就被访问控制列表所阻止了，所以无法到达目的主机PC2.
但是如果使用的是ip access-group in应用在f0/1接口下，PC1
的数据包将能通过f0/1的接口到达PC2,也许此有人会认为，PC1的数据包能通过f0/1，但是PC2返回给PC1
的数据包通不过f0/1的，因为f0/1应用的是in，可以阻止进入的流量，但是你有没有考虑到此时，从PC2返回的给PC1的数据包的源地址和目的地址是什么,（此时返回的源地址是PC2的IP地址，目的地址是PC1的IP地址），而应用在F0/1的ACL的阻止的源地址是PC1的IP地址，目的地址是PC2的IP地址，所以当将返回给PC1的数据包的源地址和目的地址与ACL中阻止的地址相比较的时候，根本就没有匹配的，所以数据包就可以通过f0/1了。
网络上的问题：
要阻止vlan9 192.168.9.142访问vlan20，
应用到vlan20的in方向，只配置deny ip host 192.168.9.142
any的时候，192.168.9.142不能访问vlan20的资源，只要一加上permit ip any
any就可以访问了，感觉第一条根本没有匹配上，只有permit ip any any起作用。
最佳答案&:
假设你的192.168.9.142地址属于vlan9，vlan20的网段是192.168.20.0/24.
ip access-list extended test
deny ip host 192.168.9.142 192.168.20.0 0.0.0.255
permit ip any any
把这个ACL应用到vlan9接口的in 方向。（扩展访问控制列表要靠近源地址）
这样做的好处就是
192.168.9.142访问vlan20的流量在网关处就被拒绝了，这样就防止没必要的流量在你的网络中流通。如果你把acl放到vlan20去，你192.168.9.142的流量会发送到vlan20才被拒绝。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。CISCO ASA防火墙安全应用问题集锦全集_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
CISCO ASA防火墙安全应用问题集锦全集
上传于||文档简介
&&A​S​A​防​火​墙​安​全​应​用​问​题​集​锦​全​集
大小：29.18KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢【求助】新人想问一下，vv能不能一次只渲染一个轨道_vegas吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：86,827贴子：
【求助】新人想问一下，vv能不能一次只渲染一个轨道收藏
三叔正版授权网游公测！
我想只渲染轨道5可以么
其它轨道禁掉。
额，好吧。我明白了。原来让这个轨道solo就行了
最笨的方法，把全部保存一下，然后把不需要的删除，然后渲染。
点轨道独奏
另存为一个，做备份，之后想怎么改就怎么改~
都是大神们解答的问题，积极向上
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或我想问一下；_百度知道
我想问一下；
网卡是钰硕AR8132的这样的配置需要多少钱还有这样能玩最高的游戏是什么游戏，光驱是索尼 NEQ OPTIARC DVD刻录机，CPU是英特尔E2210技嘉G31m-ES2C主板，瑞昱声卡AcL883，显卡是集成的，硬盘希捷250G，2G内存
这样的配置算可以吗
我有更好的答案
玩不了3D游戏。价格大约在2000元左右。
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁最近看了关于ACL的单向访问问题,有点不太明白,想问一下? - Cisco网络技术论坛
Cisco技术 Cisco设备的安装调试及应用
注册日期: Jul 2006
住址: 青岛
现金:946金币
资产:946金币
声望力: 11 声望: 10
声望力: 11
最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
假如有VLAN1:192.168.1.0 VLAN2:192.168.2.0,VLAN3:192.168.3.0三个网段,如果我想拒绝VLAN2访问VLAN1,ACCESS-LIST DENY 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255,如果把这个配置应用到VLAN2的接口上,是不是就拒绝了啊,那这样是不是VLAN1也不能 访问VLAN2啊,我就是这个地方不太明白,为什么VLAN1也不能访问VLAN2,请高手指教,谢谢
注册日期: Feb 2007
住址: tianjin
现金:45金币
资产:45金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
至少是ping不通的,因为返回的包被拒绝.
注册日期: Jul 2006
住址: 青岛
现金:946金币
资产:946金币
声望力: 11 声望: 10
声望力: 11
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
为什么回拒绝的
注册日期: Sep 2006
住址: 广州
现金:99金币
资产:99金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
访问列表后面有一条deny any...
相信你自己,每次当你忘记了脸上的恐惧时就会获得力量,勇气和自信......
注册日期: Jan 2007
住址: 苏州
现金:82金币
资产:82金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
&访问列表后面有一条deny any...&
如果是CISCO设备的 话
这个命令是默认存在的 ！
还有就是你的 配置文件怎么写的要看下。ACL的语句是 按顺序执行的。不 能想一句就写一句！
注册日期: Jan 2007
住址: 苏州
现金:82金币
资产:82金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
我在模拟器上测试VLAN1
可以 PING 同 VLAN2
,VLAN2 不能PING 同 VLAN1 不过。这个是模拟器可能有些出入
另外还有我只作个这个测试 实际情况是你在路由器上要配置很多内容，这样就比较麻烦
注册日期: Mar 2007
住址: xian
现金:11金币
资产:11金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
ACL可以配置in/out对入包或出包控制
注册日期: Jun 2006
住址: 福州
现金:156金币
资产:156金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
ACCESS-LIST DENY 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
这一句是vlan2不能访问vlan1，
先说用in还是out。如果用在vlan 2虚拟口上，那就应该用out。这条命令对于valn2来说是对外访问
　　　　　　　　　如果用在vlan 1虚拟口上，那就应该用in。这条命令对于valn1来说是对内访问
　　　　　　　　　所以，如果在vlan2上用in，那这条不起作用。因为在进入vlan2的数据中，永远不会有满足这一条
为什么VLAN1也不能访问VLAN2？ACL运行好了，这时候，vlan1到vlan2是通的，然后数据再从vlan2回到vlan1，但这个时候就不通了。所有vlan1也不能访问vlan2。
就如二个子网做路由访问，一台做了路由是不行的，只有二台都做路由才可以。
注册日期: Jan 2007
住址: 广州
现金:129金币
资产:129金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
这样理解肯定是不行的，因为数据的传输是有收也有发的，好好看一下TCP协议吧！
注册日期: Oct 2005
住址: 北京
现金:112金币
资产:112金币
声望力: 0 声望: 10
回复: 最近看了关于ACL的单向访问问题,有点不太明白,想问一下?
作者: sanjin
ACCESS-LIST DENY 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
这一句是vlan2不能访问vlan1，
先说用in还是out。如果用在vlan 2虚拟口上，那就应该用out。这条命令对于valn2来说是对外访问
　　　　　　　　　如果用在vlan 1虚拟口上，那就应该用in。这条命令对于valn1来说是对内访问
　　　　　　　　　所以，如果在vlan2上用in，那这条不起作用。因为在进入vlan2的数据中，永远不会有满足这一条
为什么VLAN1也不能访问VLAN2？ACL运行好了，这时候，vlan1到vlan2是通的，然后数据...
不对，有问题．
您不可以发表新主题
您不可以发表回复
您不可以上传附件
您不可以编辑自己的帖子
论坛禁用 HTML 代码
用户控制面板
会员在线状态
网络技术图书评论专区
Cisco技术高级讨论区
Cisco网络协议分析、故障诊断【泰克实验室】
CCNA/CCDA认证
CCNP/CCDP认证
CCIE/CCIP/CCSP等认证
Cisco认证综合区
网络技术区
网络基础知识
网络规划和案例
协议原理综合区
网络产品区
Nortel-北电
Alcatel-Lucent
其它网络产品
HP网络产品
Foundry(网捷)
ATI 安奈特
其他技术区
Linux/Unix技术
存储与备份
计算机科学(试运行)
资料共享专区
工程与销售 职场生涯
其他计算机类认证考试
论坛兄弟交流区
English Club
所有时间均为北京时间。现在的时间是 。
Powered by vBulletin& 版本 3.8.3
版权所有 &2000 - 2016，Jelsoft Enterprises Ltd.
增强包&[3.4]&制作: &&
官方中文站:
Copyright & 2003 - , All Rights Reserved
备案号:皖ICP备号