1、如果在路由器R1上配置標準的訪問控制列表,阻止PC1訪問PC3,如配置的ACL爲access-list 1 deny 192.168.1.254 0.0.0.0 access-list1 permit any。如果將此訪問列表應用到f0/1接口int f0/1
ip access-group 1 (in/out)不管此處是in還是out PC1都將無法訪問PC2,但是這兩種情況下,數據包被阻止的情況不一樣,如果應用的是 ip access-group 1 out,那麼從PC1傳送出來的數據包,只能傳到f0/1接口,但不能通過此接口,因爲此時訪問列表將PC1發送的數據包給阻止了。
但是如果應用的是 ip access-group 1 in應用到f0/1接口的,那麼從PC1傳輸的數據包可以通過f0/1接口到達PC2,但是,此時從PC2返回給PC1的流量將無法通過f0/1,因爲此時f0/1的的訪問列表應用的是in(即入口訪問方式),所以進入該接口的數據包將會被阻止。
2、但是如果此處用的不是標準的訪問控制列表(即使用的是擴展的訪問控制列表),情況將會有有所不同。
如 access-list 100 deny ip host 192.168.1.254 host 192.168.2.254 access-list 100 permit ip any any 如果將此訪問控制列表應用在f0/1接口下,如 int f0/1 ip access-group 100 (out/in)此處只有是使用的是out時,才能阻止PC1訪問PC2,因爲當PC1發送的數據包到達f0/1接口時,就被訪問控制列表所阻止了,所以無法到達目的主機PC2.
但是如果使用的是ip access-group in應用在f0/1接口下,PC1 的數據包將能通過f0/1的接口到達PC2,也許此有人會認爲,PC1的數據包能通過f0/1,但是PC2返回給PC1 的數據包通不過f0/1的,因爲f0/1應用的是in,可以阻止進入的流量,但是你有沒有考慮到此時,從PC2返回的給PC1的數據包的源地址和目的地址是什麼,(此時返回的源地址是PC2的IP地址,目的地址是PC1的IP地址),而應用在F0/1的ACL的阻止的源地址是PC1的IP地址,目的地址是PC2的IP地址,所以當將返回給PC1的數據包的源地址和目的地址與ACL中阻止的地址相比較的時候,根本就沒有匹配的,所以數據包就可以通過f0/1了。