如何在判断华为华三交换机ACL里面的inbound和outbound方向

我们经常在交换机和路由等网络设备做一些报文过滤的操作,也就是访问控制列表ACL,在接口调用(华为)或者在vlanif下调用(华三)经常会遇到这种头疼的问题,调用在outbound方向,还是inbound方向呢?

下面请看示例拓补图:

 

过程分析:
可以看到图示的方向,红色箭头代表outbound方向,紫色箭头代表inbound方向。其实谈论这种出入方向的时候,我们总是应该选择一个参照物,比如LSW1的G0/0/2端口来说,端口向电脑发送数据就是出方向(outbound),反之电脑给端口发送数据就是(inbound)方向,同理,对于LSW1的G0/0/1端口来说,端口给下一个交换机发送数据就是出方向(outbound),要是LSW2的交换机给我发送数据就是(inbound)方向。

那么请看下示例代码:

需求:禁止IP地址是192.168.10.1的主机访问IP地址是192.168.20.1的主机

那么在华为设备里,正常的调用代码是这样的。

 

[test]acl 3000

[test-acl-adv-3000]step 5

[test-acl-adv-3000] rule 5 deny ip source 192.168.10.1 0 destination 192.168.20.1 0

[test-GigabitEthernet0/0/2]traffic-filter inbound acl 3000

 

这是一个简单的调用过程

acl策略里面,源地址是192.168.10.1,目的地址是192.168.20.1,所以是10.1的这台电脑去访问20.1的这台电脑,

也就是说是10.1的电脑向G0/0/2端口发送数据,也就是inbound方向。

那么如果是同样的需求,我想让它调用的方式是出方向呢?

 

[test]acl 3000

[test-acl-adv-3000]step 5

[test-acl-adv-3000] rule 5 deny ip source 192.168.20.1 0 destination 192.168.10.1 0

[test-GigabitEthernet0/0/2]traffic-filter outbound acl 3000

 

大家有没有发现,acl里面的源地址发生了变化,现在变成源是20.1的电脑访问10.1的电脑,也就是说是G0/0/2端口向10.1的电脑发送数据,也就是outbound的方向。

上面描述的是交换机-PC的过程分析,如果换成是交换机和交换机相连,那么也是同样的道理。
————————————————
版权声明:本文为CSDN博主「疏散一小生」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/NeverGUM/article/details/100031772

posted @ 2022-01-05 09:09  Mosity  阅读(3563)  评论(0编辑  收藏  举报