ACL_in与out问题

小贝壳冬冬

大家好，有一个关于ACL的问题不太明白，想问一下大家。如图所示：

ACL

需求如下： 禁止与路由器R1的f2/0直连的网络通过telnet去访问与f1/0直连的网络。
路由器R1各接口信息：
f1/0: 2.2.2.1/24
f2/0 :1.1.1.1/24

主机R5信息：
f0/0:1.1.1.2/24

主机R4信息：
f0/0:2.2.2.2/24

第一种配置：在R1的f1/0的出口方向
R1(config)# access-list 110 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 23
R1(config)# access-list 110 permit ip any any
R1(config)# interface f1/0
R1(config-if)# ip access-list group 110 out
请问在这种配置下，主机R5为什么可以telnet R1的f1/接口(2.2.2.1)？ 上面的acl不是已经禁止telnet2.2.2.0的网段吗.
而在第二种配置下，ACL应用到的是R1的f2/0的入站方向，此时R5就不能telnet 2.2.2.1和2.2.2.2了，这才真正实现了题目所要求的不能通过telnet去访问与f1/0直连的网络，请问大家为什么第一种配置不会拒绝R5去telnet 2.2.2.1？


谢谢大家！！！

史提芬。周

看你的命令行，你的 acl  只用在了  f1/0的出方向啊，当然可以telnet到了。ACL是每个方向，都可以配置的。思科书上有acl是每协议、每接口、每方向的

小贝壳冬冬

史提芬。周 发表于 2014-2-13 08:45
看你的命令行，你的 acl  只用在了  f1/0的出方向啊，当然可以telnet到了。ACL是每个方向，都可以配置的。 ...

可是f1/0的ip地址是2.2.2.1,也属于2.2.2.0网段，而我的acl是禁止telnet 2.2.2.0网段的呀，难道在出口方向就不能过滤路由器接口的流量吗？

Rockyw

路过了解一下

史提芬。周

小贝壳冬冬 发表于 2014-2-13 10:05
可是f1/0的ip地址是2.2.2.1,也属于2.2.2.0网段，而我的acl是禁止telnet 2.2.2.0网段的呀，难道在出口方向 ...

你可以分析一下，R5  telnet  f1/0也就是2.2.2.1的过程 ，R5 发送的telnet请求一定能到 f1/0口这是肯定的吧，R1 的 f1/0 回去的应答并不受这个acl的影响，因为你的acl只设置在了f1/0的出方向，回去的消息是经过f2/0 回去的，acl没有控制到

小贝壳冬冬

史提芬。周 发表于 2014-2-13 10:25
你可以分析一下，R5  telnet  f1/0也就是2.2.2.1的过程 ，R5 发送的telnet请求一定能到 f1/0口这是肯定的 ...

谢谢你的回答，我认为你的分析还是很有道理的。

yg4638

是这样的，你ACL组织的是这个网段的流量不假，但是你忽略了一个情况，你的流量是到达2.2.2.1的，但是你在F1/0上针对出接口流量做了deny，也就是说，不流经F1/0的流量是放行的，而你到达2.2.2.1只是到达了F1/0接口，并没有通过F1/0接口，不知道这么说你明白不，如果你想要让它起作用的话，可以在I调用在F2/0的IN方向！

小贝壳冬冬

yg4638 发表于 2014-2-15 23:03
是这样的，你ACL组织的是这个网段的流量不假，但是你忽略了一个情况，你的流量是到达2.2.2.1的，但是你在F1 ...

很好，谢谢你的回复，我以前没有真正理解out的含义，out阻止的是穿过的流量，经过你的解释豁然开朗，谢谢你！！！

yg4638

小贝壳冬冬 发表于 2014-2-16 10:46
很好，谢谢你的回复，我以前没有真正理解out的含义，out阻止的是穿过的流量，经过你的解释豁然开朗，谢谢 ...

客气啦！这都不叫事！

xuwoguai

做out控制ACL是控制F1/0口后方的的流量 不是控制F1/0本身

小贝壳冬冬

xuwoguai 发表于 2014-2-17 21:40
做out控制ACL是控制F1/0口后方的的流量 不是控制F1/0本身

谢谢！

gb1q2w3e