访问控制列表(ACL)的in和out方向如何确定、如何放置?

shuyi9192022-10-04 11:39:541条回答

已提交,审核后显示!提交回复

共1条回复
绝爱小家家 共回答了22个问题 | 采纳率90.9%
进入设备前ACL就起作用的设为in,进入设备后ACL才起作用的设为out.
你可以把设备想像成你家,ACL就是你家大门.外面的人要通过大门进来你家,就要in;你家里面或者你家后花园送来的东西要从大门送到外面,就要out.
至于放在哪个位置,还是可以以门为例,比如ACL设在大门,那么经过大门的流量才受到影响,也就是说如果是从另一个门in或out则不受影响(比如从你家后门进来出去).放哪个门(接口)影响哪些流量,具体环境分析一下就清楚了.
1年前

相关推荐

CISCO ACL问题答案及计算过程禁止主机172.18.16.40/28所在子网的所有主机对外访问,访问控制列表该如何
CISCO ACL问题
答案及计算过程
禁止主机172.18.16.40/28所在子网的所有主机对外访问,访问控制列表该如何写?( )
A.access-list 10 deny 172.16.16.40 255.255.255.240
B.access-list 10 deny 172.16.16.0 0.0.0.255
C.access-list 10 deny 172.16.16.32 0.0.0.15
D.access-list 10 deny 172.16.16.40 0.0.0.0
karenwu1171年前1
451571991 共回答了26个问题 | 采纳率92.3%
C.
首先判断172.18.16.40/28属于哪个子网,有2的4次方个IP,知道了每个网段范围:
172.18.16.0/28~172.18.16.15/28
172.18.16.16/28~172.18.16.31/28
172.18.16.32/28~172.18.16.47/28
......
属于172.18.16.32/28~172.18.16.47/28这个网段,所以ACL这么些
access-list number deny ipsubnet wildcard
即:
access-list 10 deny 172.18.16.32 0.0.0.15
wildcard的意思
把0.0.0.15写成二进制
00000000.00000000.00000000.00001111
0代表必须匹配,1代表无须匹配

去掉头和尾的2个IP后的172.18.16.33/28~172.18.16.46/28这些主机被拒绝访问外部网。
答案怎么是172.16.16.32 0.0.0.15,IP不对,手误? 悬赏分数都没,还要求那么多。
1年前查看全部
关于访问控制列表ACL问题!1.有如下所示的某访问控制列表:access-list 101 deny tcp host
关于访问控制列表ACL问题!
1.有如下所示的某访问控制列表:
access-list 101 deny tcp host 172.16.1.8 any eq telnet
access-list 101 permit ip any any
其作用是拒绝IP地址为172.16.1.8的主机发出的,到任意地址的Telnet请求.同时允许该主机的其他IP流量通过.现由于网络管理策略的变化,要求将该访问控制列表的控制策略改为拒绝IP地址为172.16.1.8和172.16.1.9两台主机发出的,到任意地址的Telnet请求,同时允许两台主机的其他IP流量通过.则为实现此目的,最合适的修改办法应为(d )(选择一项)
a) 为该访问控制列表加入新的条目为:
access-list 101 deny tcp host 172.16.1.9 any eq telnet
b) 为该访问控制列表加入新的条目为:
access-list 101 deny tcp host 172.16.1.9 any eq telnet
access-list 101 permit ip any any
c) 为该访问控制列表加入新的条目为:
access-list 101 deny tcp 172.16.1.8 0.0.0.1 any eq telnet
d) 删除此访问控制列表,并重新编写为:
access-list 101 deny tcp 172.16.1.8 0.0.0.1 any eq telnet
access-list 101 permit ip any nay
无人知晓吗?-
asdjfJW1年前1
cajaj 共回答了23个问题 | 采纳率87%
首先这是扩展访问控制列表,不能在里面任意添加语句且不能删除语句 例如:
1.access-list 101 deny tcp host 172.16.1.8 any eq telnet
2.access-list 101 permit ip any any
以上是你原来的语句
如果你添加了新的语句
1.access-list 101 deny tcp host 172.16.1.8 any eq telnet
2.access-list 101 permit ip any any
3.access-list 101 deny tcp host 172.16.1.9 any eq telnet
4.access-list 101 permit ip any any
看其中的第二条,已经允许所有的IP包了,按照一条一条逐步匹配的原则,那么第三条就没有起到作用.同理第4条也就多余了
所以添加语句是错误的
又因为不能单独删除某条语句,所以只能删除整个列表 然后重写
所以选D
172.16.1.8 0.0.0.1 后面的反掩码0.0.0.1 就是表示 172.16.1.8 和172.16.1.9 两个地址(具体解释自己看书)
如果要任意的添加删除ACL语句 可以用命名的ACL
1年前查看全部
访问控制列表命令正确的是   下面的访部控制列表命令正确的是:()   A、acl 1   rule deny sour
访问控制列表命令正确的是   下面的访部控制列表命令正确的是:()   A、acl 1   rule deny source
访问控制列表命令正确的是
  下面的访部控制列表命令正确的是:()   A、acl 1   rule deny source 1.1.1.1   B、acl 1   rule permit any   C、acl 1   permit 1.1.1.1 0 2.2.2.2 0.0.0.255   D、acl 99   rule deny tcp source any destination 2.2.2.2 0.0.0.255 该选那个答案
wxll1年前1
richter1223 共回答了17个问题 | 采纳率88.2%
d
1年前查看全部
什么是访问控制列表?
水妖zyy1年前1
西露 共回答了17个问题 | 采纳率100%
下面是对几种访问控制列表的简要总结.
●标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作.编号范围是从1到99的访问控制列表是标准IP访问控制列表.
●扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等.编号范围是从100到199的访问控制列表是扩展IP访问控制列表.
●命名的IP访问控制列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似.
●标准IPX访问控制列表
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分.
●扩展IPX访问控制列表
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket.扩展IPX访问控制列表的编号范围是900-999.
●命名的IPX访问控制列表
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号.从而方便定义和引用列表,同样有标准和扩展之分.
1年前查看全部

大家在问

Copyright © 2019-2022 . All Rights Reserved. www.usmleedu.com 版权所有