标准访问列表

Question

我有下面的设置

Vlan10 Pc1 192.168.10.20 Vlan20 Pc2 192.168.20.20 Vlan21 Pc2 192.168.21.20子网:255.255.255.0

全部连接到第三层交换机

我跟踪ACL

Access-list 10 permit 192.168.10.0 0.0.0.255

Access-list 20 permit 192.168.20.0 0.0.0.255

我将ACL应用于vlan 10，如下所示：

Interface vlan 10
IP access-group 20 in 

为什么不能从vlan20设备切换到VLAN10设备？

我甚至试着添加

Interface vlan 10
IP access-group 10 out

但这不起作用

但如果我试着

Interface vlan 10
IP access-group 20 out, 

一切都很好

如果，标准访问列表检查源地址，那么我们应该使用入站接口对吗？但为什么它不起作用

有人能帮我解决这个困惑吗？

提前谢谢

Answer 1

谢谢大家，我明白了

对于所有标准ACL，都有默认的拒绝ACE。

ACE是指ACL条目：

 access-list 12 permit/deny x.x.x.x x.x.x.x'

Default ACE:  if a packet doesn't match any of the ACE in the ACL , then it is automatically blocked 

因此，如果只允许从VLAN 12 ( 192.168.12.0 )到VLAN 10的数据包

你必须创建ACE

Access-list 12 permit 192.168.12.0 0.0.0.255

并将其应用于VLAN 10出站接口，

在这里，我们选择外绑定，因为包来自VLAN 12，而出到VLAN 10，ACL将检查从VLAN 12进入VLAN 10的数据包

So outbound = coming into the VLAN 10
(coming **out to** VLAN 10 **from** any other network )

在这里，我们不想创建ACE来拒绝所有其他数据包，因为cisco实现了默认拒绝任何数据包

如果我们将ACL 12应用于VLAN 10的入站接口，

ACL将检查从VLAN 10到VLAN 12的数据包，并拒绝与ACE不匹配的所有数据包。由于没有具有源地址192.168.12.x的数据包(所有来自有源192.168.10.x的数据包)，所有数据包都不会与ACE匹配。因此，来自VLAN 10的所有数据包都将被丢弃，因此VLAN 10无法与任何其他网络通信。

如果您添加ACE许可任何，那么它将首先检查第一个条件，它不会通过，所以它将检查下面的条件。正如我们给ACe的许可一样，所有的数据包都将被允许，并且不会有任何过滤

ACE: access-list 12 permit any

因此，在入站接口中，ACL将检查从VLAN 10到其他网络的数据包

Hence inbound = coming from the VLAN 10
(coming **in from** VLAN 10 **into** any other network )

Answer 2

源地址上的标准访问列表筛选器。因此ACL 20只允许源IP为192.168.20.x的数据包。但是Vlan 10是一个不同的子网，所以VLAN 10中的任何数据包都会被丢弃。

当您将ACL放置到出站方向时，数据包将来自VLAN 20，并且允许数据包。