ip access-group 1 (in/out)不管此處是in還是out pc1都將無法訪問pc2,但是這兩種情況下,資料報被阻止的情況不一樣,如果應用的是 ip access-group 1 out,那麼從pc1傳送出來的資料報,只能傳到f0/1介面,但不能通過此介面,因為此時訪問列表將pc1傳送的資料報給阻止了。
但是如果應用的是
ip access-group 1 in應用到f0/1介面的,那麼從pc1傳輸的資料報可以通過f0/1介面到達pc2,但是,此時從pc2返回給pc1的流量將無法通過f0/1,因為此時f0/1的的訪問列表應用的是in(即入口訪問方式),所以進入該介面的資料報將會被阻止。
2、但是如果此處用的不是標準的訪問控制列表(即使用的是擴充套件的訪問控制列表),情況將會有有所不同。
如 access-list 100 deny ip host 192.168.1.254 host 192.168.2.254
access-list 100 permit ip any any 如果將此訪問控制列表應用在f0/1介面下,如
int f0/1
ip access-group 100 (out/in)此處只有是使用的是out時,才能阻止pc1訪問pc2,因為當pc1傳送的資料報到達f0/1介面時,就被訪問控制列表所阻止了,所以無法到達目的主機pc2.
但是如果使用的是ip access-group in應用在f0/1介面下,pc1 的資料報將能通過f0/1的介面到達pc2,也許此有人會認為,pc1的資料報能通過f0/1,但是pc2返回給pc1 的資料報通不過f0/1的,因為f0/1應用的是in,可以阻止進入的流量,但是你有沒有考慮到此時,從pc2返回的給pc1的資料報的源位址和目的位址是什麼,(此時返回的源位址是pc2的ip位址,目的位址是pc1的ip位址),而應用在f0/1的acl的阻止的源位址是pc1的ip位址,目的位址是pc2的ip位址,所以當將返回給pc1的資料報的源位址和目的位址與acl中阻止的位址相比較的時候,根本就沒有匹配的,所以資料報就可以通過f0/1了。
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
訪問控制列表 ACL
訪問控制列表的條件引數都在ip包中,協議號和ip位址 源位址和目的位址 都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收 哪些資料報需要拒絕。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網...