关于inbound/outbound 的理解
有两个VLAN,VLAN10和VLAN20,限制它们互访.VLAN10的网段为10.1.109.0/26,VLAN20的网段为10.1.109.64/26,如果起用规则:
rule 1 deny ip source 10.1.109.0 0.0.0.63 destination 10.1.109.64 0.0.0.63此规则在VLAN10的端口下下发是
packet-filter outbound ip-group 3000
rule 2 deny ip source 10.1.109.64 0.0.0.63 destination 10.1.109.0 0.0.0.63 此规则在VLAN10的端口下下发是
packet-filter inbound ip-group 3000
这样理解对吗?!!!
***
这个偶在65XX上配置过,按照H3C的工程师说法是只能使用Inband,规则和应用差不多
也就是说,楼主需要配置两个ACL列表才可以,IP Source要不相同。。。。。。。。。
***
对的!不过这样设置是不是有点多余,本来vlan健就不能互访的。
**
华为三层交换机默认VLAN之间是互访的**
**
其实inbound和outbound,是站在接口的方向上看的!流进接口的流量是in,流出接口的流量是out.
***
from http://bbs.51cto.com/thread-180552-1.html
**
一台3528,划分多个VLAN,通过acl保护其中一个VLAN,原先用cisco,在这个被保护VLAN上设置out acl,现在改用华为,不知道该怎么设置比较简便。
**
今天又发现只能在物理端口上设置,不能在vlan上设置,这可太不方便了
**
S3552是新产品,不知道是不是象S6506一样,有not-care-for-interface参数
int e1/0/1
packet-filter inbound ip-group anti_worm not-care-for-interface
packet-filter inbound ip-group anti_icmp not-care-for-interface
not-carefor-interface参数表示的意思是该规则在整个芯片下发,而不仅仅是在这个端口下发
**
我用的3552系列的3528G,没有这个参数。
但如果是在整个芯片下发,是否在所有端口生效?由于acl rule的方向性,所以只能限制在某些端口上。
**
from http://bbs.netbuddy.org/network/15402.html
**
Apr 15 2008
交换机的启动、基本配置、ACL配置
**
from http://www.51wangwei.com/index.php?go=category_2
**
如何判断防火墙上的接口是INBOUND还是OUTBOUND
**
优先级高的域到优先级低的域的方向为outbound,反之为inbound,需要添加每个接口都添加到防火墙的域里,比如华为USG3030默认有四个个域
local优先级100为最高、
trust优先级85
dmz优先级50
untrust优先级15
把 g0/0 add到trust 、g0/1 add到dmz、g0/2 add到 untrust。
默认域之间的流量都是禁止的,需permit各域间
所以从g0/0到g0/1、g0/2方向为outbound,反之为inbound
**
应用ACL时inbound 和 outbound 有什么区别?
如题,高手请说说
***
一般规律:
已知受限源地址时,将ACL绑定于距离源地址最近的接口/虚接口inbound;
源地址不明或不便一一限制时,将ACL绑定于距离保护目标最近接口outbound;
**
按防火墙的来说,in为从第区域到高区域
,反之为OUT
一般来说,防火墙自身的LOCAL区级别最高
**
我是不是可以这样理解,inbound指是数据包进入路由器的某个接口,而outbound是指数据包从某个接口上发出
*
其实对于这个问题我们可以有个很好的方法:
对于inbound 和putbound 而言:
相对与 路由器的接口而言 , 如果数据是从外面进入路由器的话,就是inbound. 如果数据是从路由器内部通过接口流出,那么方向就是 outbound 了.
支付宝微信扫一扫,打赏作者吧~
