关于access-list的问题

egegeg

蛋抹绿慢灵魂 发表于 2013-6-5 10:00
我ip access-list 100 in是可以的。但是out就不存在
我打ip access-list 100 ？ 出来的只有in  没有out这 ...

in就是从这个端口出去的时候匹配ACL  out就是进去的时候匹配ACL
如果没out 你就在2.8这个端口上in 作用都是一样的
在2.8端口in就是这个端口进去的流量会匹配到这条ACL  就是匹配到2.8就deny掉
如果你在11.33这个端口写in 就是说这个端口下如果进来匹配到2.8就会deny 但是下面是11.33 永远匹配不到 所以不起作用

ititie

蛋抹绿慢灵魂 发表于 2013-6-5 10:40
嘿嘿。就是想让我们IT的电脑不能给别人访问。我在看看书，这里面的原理还是没能搞懂，身为IT人员惭愧

慢慢来吧，看看资料，动动手实验什么的。
想用acl实现1能访问2，2不能访问1的这方面，你看看自反acl，就清楚了。
至于 2960 。。。嘿嘿，你懂的

蛋抹绿慢灵魂

ititie 发表于 2013-6-5 11:30
慢慢来吧，看看资料，动动手实验什么的。
想用acl实现1能访问2，2不能访问1的这方面，你看看自反acl，就 ...

Thanks.看书不认真，我再从头看一遍。

蛋抹绿慢灵魂

egegeg 发表于 2013-6-5 11:15
in就是从这个端口出去的时候匹配ACL  out就是进去的时候匹配ACL
如果没out 你就在2.8这个端口上in 作用都 ...

in不是进来的数据包 out是出去的数据包么。
我的理解是在11.33的端口上in的话  deny 192.168.2.8  由于是in所以会去查看地址范围。当查到2.8是被拒绝的，然后就不让通过。   能帮我分析下我理解哪里错了吗。因为我看了你刚才说的我还是没法理解 in和out的关系

egegeg

蛋抹绿慢灵魂 发表于 2013-6-5 11:38
in不是进来的数据包 out是出去的数据包么。
我的理解是在11.33的端口上in的话  deny 192.168.2.8  由于是 ...

对  第一句我说反了   但下面几句还是正确的
我下面不是说了么
如果你在11.33这个端口写in 就是说这个端口下如果进来匹配到2.8就会deny 但是下面是11.33 永远匹配不到 所以不起作用

蛋抹绿慢灵魂

egegeg 发表于 2013-6-5 12:17
对  第一句我说反了   但下面几句还是正确的
我下面不是说了么
如果你在11.33这个端口写in 就是说这个端 ...

哎呀，你说的后半句我没理解是什么意思哦。前半句说11.33端口in的话 deny 2.8  那我的理解就是当192.168.2.8这个IP进入11.33这个端口的时候 由于deny所以 被拒绝。
而你说的下面是11.33永远匹配不到是怎么个说法捏

egegeg

蛋抹绿慢灵魂 发表于 2013-6-5 12:22
哎呀，你说的后半句我没理解是什么意思哦。前半句说11.33端口in的话 deny 2.8  那我的理解就是当192.168. ...

画图可能好理解点
ACL：deny 2.8
如果你在2.8端口写in 他就会匹配到2.8 deny掉
如果你在11.33写in 他下面是11.33  进去的流量匹配不到2.8所以无效
但是你在11.33端口写out的话  2.8从11.33这个端口出来就会匹配掉也能deny
ACL部署还要记得俩点
扩展ACL靠近源写in
标准ACL靠近目的写out
所以你这条ACL建议写在11.33端口out
如果写在2.8端口in  2.8连这个端口都出不了  就会外网也上不了

ititie

egegeg 发表于 2013-6-5 12:37
画图可能好理解点
ACL：deny 2.8
如果你在2.8端口写in 他就会匹配到2.8 deny掉

图很强大  

egegeg

ititie 发表于 2013-6-5 12:41
图很强大

这样应该更好理解了把
上面那个回复我第一句写反了 但是我想的还是对的 下面几句还是正确的

菜鸟学徒

看看吧

蛋抹绿慢灵魂

egegeg 发表于 2013-6-5 12:37
画图可能好理解点
ACL：deny 2.8
如果你在2.8端口写in 他就会匹配到2.8 deny掉

现在能看明白了。大神你好Thanks

一只企鹅

ping 要！！！！就得有去有回 去了不回 怎么弄呢

承诺给你(lu)