理解:
关于ACL中的IN和OUT,我的理解是进来和出去的流量。
问题:
如果按这种理解,A(S0)-----(S0)B(S1)-----(SO)C,如果我想只让A访问C,但C不能访问A。又结合ACL放置原则,标准访问控制列表尽量靠近目标地址的原则。将同一访问列表分别应用在B的两个端口之上的不同方向,S0用IN方向,S1用OUT方向。这样是可以实现我的要求的。可是实际应用中,是不能通信的。
原因:
因为这忽略了一个问题:网络通信是双向的,即请求和回复。这个时候A已经是可以访问C的,但C回复的包却被B过滤掉了。所以通信失败。
因为这个问题郁闷了很久,回头想想原因还是基础不够扎实。赶快恶补呀!!!
转:https://blog.51cto.com/xiangwei/52411