如果是物理接口:
in就是流量进入交换机的方向,out就是流量出交换机的方向。
如果是三层svi接口:
in就是从svi所属vlan进入交换机的方向,也就是说你在ACL中配置策略的源地址是10.60.15.0/24网段的话,这个ACL必须挂在
10.60.15.0/24网段的SVI接口的in方向才生效。
out方向呢,同样的道理,就是从SVI所属vlan出交换机的流量会命中,按照上面的例子,如果你写一个ACL策略中的目标地址是
10.60.15.0/24网段,那么就要将ACL挂在
10.60.15.0/24网段的svi接口的out方向,流量才会命中。
举个例子:
10.60.15.0/24只能访问1.1.1.1其他全部拒绝
#
interface Vlan-interface15
ip address 10.60.15.1 255.255.255.0
packet-filter 3001 inbound
#
acl advanced 3001
description 限制
rule 0 permit ip destination 10.60.15.0 0.0.0.255
rule 5 permit ip destination 1.1.1.1 0
rule 100 deny ip
#
参考文章:
https://blog.csdn.net/weixin_34128534/article/details/92922056
https://community.cisco.com/t5/网络文档/原创-svi上acl的入方向-出方向-inbound-outbound/tac-p/4335028/highlight/true
发表评论