作业帮尽可能的把IP 标准ACL 放置在离目标地址近的地方;尽可能的把IP 扩展ACL 放置在离源地址近的地方
来源:学生作业帮 编辑:作业帮 分类:综合作业 时间:2024/10/04 06:45:16
尽可能的把IP 标准ACL 放置在离目标地址近的地方;尽可能的把IP 扩展ACL 放置在离源地址近的地方
如图,加入我拒绝右侧的主机4.13访问左侧的3.0网络使用标准的访问控制列表为:access-list 1 deny host 172.16.4.13 ,然后应用在E0口的out方向,为什么不能应用在E1口的in方向呢?如果应用在E1的in方向,那么4.13也不能访问其他网络了.如果我使用扩展访问控制列表实现刚才的要求方法如下:access-list 100 deny IP host 172.16.4.13 172.16.3.0 0.0.0.255,应用在E1口的in方向,为什么呢?如果应用在E0口的out方向也可以达到目的,但是数据先进入了路由器,从E0口向外发送时发现应该拒绝该数据,那么路由器查找路由表就是在做无用功了.所以应用在E1口的in方向,可以减轻路由器的负担.
再问: 谢谢!明白 了很好,你熟悉CISCO PIX吗,这个设备好像没有不区分out ,in方向,只是将access-list应用在哪个Port,对吗?
再问: 谢谢!明白 了很好,你熟悉CISCO PIX吗,这个设备好像没有不区分out ,in方向,只是将access-list应用在哪个Port,对吗?