ACL中IN和OUT的区别
忘了是哪为高人做的如下如此形象的比喻(隐约记得好象是红头发大哥),呵呵!真是一席话胜读百卷书~ 苦想半天的问题马上就理解的很透彻了
in和out是相对的,比如:
A(s0)-----(s0)B(s1)--------(s1)C 假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C) 现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法: 1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的 2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C) 虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
扩展acl,要靠近源 ,标准acl靠近目标地址 本文出自 51CTO.COM技术博客 |
ww7319
博客统计信息
热门文章
最新评论
友情链接