路由器 ACL中，在OUT和IN使用中有什麼區別

1樓：網友

in和out是相對的，比如：

a(s0)--s0)b(s1)--s1)c

假設你現在想拒絕a訪問c,並且假設要求你是在b上面做acl(當然c上也可以),我們把這個拓撲換成乙個例子：

b的s0口是前門，s1口是後門，整個b是你家客廳，前門外連的是a,客廳後門連線的是你家金庫(c)

現在要拒絕小偷從a進來，那麼你在你家客廳做個設定，就有2種辦法：

1.在你家客廳(b)前門(b的s0)安個鐵門(acl),不讓小偷進來(in),這樣可以達到目的。

2.在你家客廳後門安個鐵門(b的s1),小偷雖然進到你家客廳，但是仍然不能從後門出去(out)到達你家金庫(c)

雖然這2種辦法(in/out)都可以達到功效，但是從效能角度上來說還是有區別的，實際上最好的辦法，就是選辦法1,就像雖然小偷沒進到金庫，至少進到你家客廳(b),把你客廳的地毯給搞髒了(b要消耗些額外的不必要的處理)

相對於路由器的，穿過路由器的是out 即將進入的是in

擴充套件acl,要靠近源，標準acl靠近目標位址。

實際上in和out的應用是很靈活的。

2樓：網友

您好！由於資料是有流向的，所以乙個acl的設計必須考慮應用於介面的in還是out。例如我們設計乙個acl命令如下：

permit

這條命令是代表允許這個ip位址通過。但是如果您在埠上應用的是in方向，那麼源位址是，且方向為從外部進入該埠的資料包將被允許進入；如果您在埠上應用的是out方向，那麼就是允許源位址為的資料包從該埠流出。

供參考。

3樓：網友

埠流量的上行、下行控制。

將acl應用到路由器的介面，其中的in 和 out是怎麼定義的？

4樓：訾可嘉琴囡

showlink，還是我理解錯了。圖畫的很清楚，可是下面的描述是不是說錯了？那個圖中in有3個，是不是用in的acl可以控制三個網段，而圖中out對應的acl是不是應該控制乙個網段？

不明白，望指教。

5樓：匿名使用者

in ↓in→路由→out ↑ in in就是進入路由時候acl配置生效，圖中對單個進口連線的這個網段進行訪問控制。標準acl用in較多，他們基於源位址。out就是出路由器的時候acl配置生效，很明顯他可以對圖中三個網段都進行訪問控制。

擴充套件acl用out較多，基於目的位址。

6樓：匿名使用者

in是指當資料包傳入這個埠是用acl作判斷，out指當資料包傳出這個埠時acl做出判斷。

7樓：匿名使用者

按照我的理解，in和out是對於同乙個埠上來講的，不同埠的in和out是不一樣的，你根據資料的傳輸方向，就能很容易判斷了。

8樓：匿名使用者

in是你吃到嘴裡的，你可以選擇吃什麼，不吃什麼out是你拉出去的，你可以選擇拉什麼，不拉什麼。

9樓：匿名使用者

還是有點不明白，我再看看資料去，感激了。

訪問控制列表的in和out到底是怎麼區別的

10樓：文件類共創空間

1、如果在路由器r1上配置標準的訪問控制列表，阻止pc1訪問pc3，如配置的acl為access-list 1 deny access-list 1 permit any。如果將此訪問列表應用到f0/1介面int f0/1

ip access-group 1 (in/out)不管此處是in還是out pc1都將無法訪問pc2，但是這兩種情況下，資料包被阻止的情況不一樣，如果應用的是 ip access-group 1 out，那麼從pc1傳送出來的資料包，只能傳到f0/1介面，但不能通過此介面，因為此時訪問列表將pc1傳送的資料包給阻止了。

但是如果應用的是 ip access-group 1 in應用到f0/1介面的，那麼從pc1傳輸的資料包可以通過f0/1介面到達pc2，但是，此時從pc2返回給pc1的流量將無法通過f0/1，因為此時f0/1的的訪問列表應用的是in（即入口訪問方式）,所以進入該介面的資料包將會被阻止。

2、但是如果此處用的不是標準的訪問控制列表（即使用的是擴充套件的訪問控制列表），情況將會有有所不同。

如 access-list 100 deny ip host host access-list 100 permit ip any any 如果將此訪問控制列表應用在f0/1介面下，如 int f0/1 ip access-group 100 （out/in）此處只有是使用的是out時，才能阻止pc1訪問pc2，因為但pc1傳送的資料包到達f0/1介面時，就被訪問控制列表所阻止了，所以無法到達目的主機pc2。

但是如果使用的是ip access-group in應用在f0/1介面下，pc1 的資料包將能通過f0/1的介面到達pc2,也許此有人會認為，pc1的資料包能通過f0/1，但是pc2返回給pc1 的資料包通不過f0/1的，因為f0/1應用的是in，可以阻止進入的流量，但是你有沒有考慮到此時，從pc2返回的給pc1的資料包的源位址和目的位址是什麼，（此時返回的源位址是pc2的ip位址，目的位址是pc1的ip位址），而應用在f0/1的acl的阻止的源位址是pc1的ip位址，目的位址是pc2的ip位址，所以當將返回給pc1的資料包的源位址和目的位址與acl中阻止的位址相比較的時候，根本就沒有匹配的，所以資料包就可以通過f0/1了。

11樓：匿名使用者

既然是拒絕訪問直接在r2連線r3的埠上做in的acl就成。

12樓：網友

進入裝置前acl就起作用的設為in，進入裝置後acl才起作用的設為out。

cisco 中的acl的in和out方向大家怎麼理解的！

13樓：匿名使用者

你的主要目的是禁止所有pc ping r0 也就是在資料包進r0前禁止，以你的 deny ,那麼要做的是在r0的每個介面in 方向。而你應用的卻是out 方向，這樣做是r0對主機ping 通了解這些，只要明確自己的真正想要得到的結果，達到這個目的，理解in out可以從是否經過路由器來著手，試一下。

14樓：匿名使用者

小平民的比喻很形象啊其實可以這麼說：自來水廠分配水，如果不讓所有使用者獲得水，他就關掉in口；如果他讓某個特定使用者停水，他就在那個靠近使用者的開關禁止了，這個就是out口；不知道你看明白了沒，畫個圖自己比劃比劃。

15樓：網友

簡單一點說，資料流向路由器為in, 資料從路由器離開為out,不管內網還是外網，只看資料流作用在路由器的方向就對了。

16樓：匿名使用者

把你自己看成一臺交換機，介面就是自己的口，吃進去的東西就叫in,吐出來的東西就叫out.不知道這樣比喻你能不能理解。

訪問控制列表（acl）的in和out方向如何確定、如何放置？

17樓：想洗澡的太陽

都是相對於進出路由器而言的，比方說，a--路由器--b，訪問列表是a拒絕訪問b，那麼就在路由器連線b的口寫乙個out的。

18樓：匿名使用者

in與out是乙個相對概念，只需要告訴你設定是相對於誰而言，問題就很好明白了。那就是相對於源網路而言！

cisco路由器配置acl訪問控制列表，為什麼應用out方向的策略卻可以影響（阻止了）in方向的流量？

19樓：學習

你好，對於你的疑問，看了你的配置後發現個問題，你要知道所有的acl在語句的最後預設都是deny any any，所以你以上的語句並不是造成訪問不了，而是回除了埠號22其他的都被deny掉了。

不知這樣能否解決你的疑問。

20樓：網友

你的擴充套件acl 只定義了乙個乙個埠允許出，其他都被預設拒絕了，加句permit ip any any試試看。。。

21樓：網友

擴充套件acl 只定義了乙個埠允許出，其他都被預設拒絕了，加句permit ip any any試試看。。。

22樓：私瀑猿杉

彼此交錯愛戀穿越了時光。

老年婦女提著菜籃背影。

臨危懼敢於衝鋒寧死屈。

我想求個acl中out和in的例項

23樓：網友

你的acl是怎麼做的啊？上敏友型個圖啊。不想讓客戶訪問，把特定客戶ip位址或網橋猜段挑出來deny掉其他permit。

如果要幹掉很多的話就把允許的挑出來permit，其他的走預設隱含語告慧句deny掉。

埠繫結訪問控制表用in(進)和out(出)有什麼區別

24樓：dyan_悶嘚爾

區別大哦。假設現在一臺路由，左右兩邊連著，現在你要繫結一條acl在左邊埠，如果你用in，就是訪問控制表只對從左往右通過的網路生效，如果是用out，就是對從右往左的網路生效。清楚了麼？

cisco中訪問控制列表的in和out大家是怎樣理解的

25樓：網友

in是指入方向的流量，就是本裝置接收到的流量，配置了in關鍵字的話，acl只對入方向流量生效。

out是指出方向的流量，就是本裝置傳送出去的流量，配置了out關鍵字的話，acl只對出方向流量生效。

分in和out是為了實現更精細化化地控制。

路由器 ACL中，在OUT和IN使用中有什麼區別

怎樣配置路由器的ACL命名訪問控制列表

ACL問題，三層交換機跟一臺路由器，在思科模擬器中

tp link路由器和小米路由器哪個好

其他用戶還看了：