问一个关于ACL方面的问题

wangbin2010jy

先上图

这个ACL我是在R2中做的 R1 与R3（A 与B）模拟的是telnet 服务器。这个图我主要是有两个问题
1、假如从R1（A）做连接请求到R3（B）是不是从R2这个路由角度去看F0/0为数据进入（IN）R2经过查询路由表发往目的地址从F0/1出去（OUT）反之亦然。对不对的？
2、第二个问题我是在实验中发现的，有点奇怪。我是做了一条扩展的ACL实验。access-list 100 deny ip any host 192.168.2.2 也就是源地址为所有,目的主机为192.168.2.2(B) 假如我在R2中的F0/0中来调用这条ACL的话，ip access-group 100 in 那么可以生效的，也就是从（A）的角度F0/0为IN口，奇怪的是如果我在F0/0中这样调用ip access-group 100 out 的话 A去连接B A去的路可以通B返回来的数据不能通。按我自己的思路是这样的，A到B的连接F0/0为进口但是在这里ACL定义为OUT口，所以它是通的，B反过来通讯A的话，F0/0为OUT口，那是对的，但是调用的ACL目的主机为192.168.2.2，那么B过来的话192.168.2.2是为源地址了，按道理应该这条ACL是无效的，为什么能阻拦住返回的数据呢？谢谢

无洺

楼主，你好，在路由器的角度去思考就行了，access-list 100 deny ip any host 192.168.2.2告诉R2：源为任何目的为B的acl。要让路由器识别到数据包对于你的acl来说是in还是out。f0/0写out，A(源)->B(目的)的包在f0/0接口不可能是out，所以acl不满足，放行。B（目的）->A（源），对于acl来说，是从f0/0 out出去，所以丢弃

jsjsboy

一条ACL至少包含一个permit语句，末尾隐含deny所有
所以你R2ping不通R1，被deny掉了
R1pingR2，因为你方向做错了，所以ACL并没有生效

问舟

awanggong

1.ACL默认是deny anyany的，所以必须有配置一个permit语句才可以放行数据否者都无法通过。
2.In方向可以通过不是因为ACL而是因为In方向未做任何策略。

Rockyw

2楼和5楼的所言极是，默认最后是有一条拒绝所有的规则。如果你没明确允许的话，最终就会匹配这条默认的规则而被拒绝掉。

无洺

感谢大神们的讲解，我理解错了，实在有愧。。。