本文探讨了VLAN访问控制列表(ACL)中源和目的地址段与IN/OUT方向的关系。作者指出,ACL的配置位置对于网络通信至关重要,通常在目标VLAN接口的IN方向阻止数据包和OUT方向允许通信。作者通过ping实验验证了这一理论,并提出数据包在进入VLAN后可能经历解析过程,建议出于安全考虑,更倾向于在OUT口设置限制性ACL。作为路由初学者,作者意识到还有更多知识需要学习,并欢迎指正。
查过许多篇文章以后,很多文章都得出了一个结论:
在vlan间的acl中当源地址段为应用 vlan接口的ip段时,就是用in方向;
当目的地址段为应用vlan接口的ip段时,就是用out方向;
这边对这个结论进行一个猜想:
首先我们需要知道一点点别的知识,这边在这边做一个简单的说明:
首先我们都知道,TCP/IP体系中存在四层,分别是: 应用层,传输层,网络层,链路层
我们如果要进行一个数据传输的话,数据处于应用层的话,落实在传输上面的话就是从上往下走进行一个数据封装,然后在进行一个对应的传输,然后这个时候当数据包到达预定位置以后,我们的数据报是要进行一个从下往上的解包操作的,这样才能从下往上在应用层拿到数据,所以这边就是一个数据封装与解包的过程。
好了这个时候我们的前置知识就已经说完了。然后这个时候如果说有两个网段,一个内网一个外网,像这样:
首先这个in跟out都是相对的,这个不用纠结。
然后这个时候如果说
我在网段1去ping一下网段2的主机,如果没有做任何的访问控制,在正常情况下,这个时候肯定是能通的,那这个时候我如果在网段2的vlan上的in口打了一个acl类似这样的:
permit IP any host 网段2的某一主机
这个时候由于acl访问控制默认拒绝所有,这个意图的话就很明显了,如果有去做实验的话,可以知道这个是ping不通这个host所指定的主机的,那如果将这个acl配置换到out口的话这个时候又是可以的,那这个时候我是不是可以说这个数据包没有进到这个vlan设备中所以不能走通,这个时候,我如果打一个ip any any应该就是可以的,有想法的可以去试试。
好了这边得出猜想,一个数据包走到vlan内部是会进行一个解析的,为了不配置出错,以及预防意外的情况,我们会将这个数据包放进vlan内部让他进行一个解析,然后解析过后这个数据包就要往对应的地方走,那么这个时候我们在vlan的out位置给他来一个限制的话,这个时候不就达到我们想要的效果 了,至于如果说你一定要配置在in口上的也可以,但是你会配置一个IP any any,放行所有,这个时候你觉得会放心嘛。这个范围可是很大的奥,至于配置在in口上要多一个ip any any,笔者认为这边是做了一个数据包解析的作用。
大体解析就是这些。
问题是到了这个vlan内部以后是不是真的会进行一个解包
这边只是笔者的一个猜想,作为一个路由小白,发现要学的东西还有很多,有错的话,还请多多指教。
扫一扫
1535
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
