在上述示例中,网络管理员配置了 ACL,允许来自 192.168.10.0/24 网络的用户同时浏览不安全网站和安全网站。 虽然已配置完毕,但只有将 ACL 应用于接口时,ACL 才能过滤流量。 要将 ACL 应用到接口上,首先要考虑需要过滤的流量是传入还是传出流量。 当内部 LAN 上的用户访问 Internet 中的网站时,流量是从 Internet 发出的。 当内部用户收到来自 Internet 的一封电子邮件时,流量是传入本地路由器的。 但是,在将 ACL 应用于接口时,传入和传出具有不同的含义。 从 ACL 方面来讲,传入和传出与路由器接口有关。

在该图的拓扑中,R1 有三个接口。 它有一个串行接口 S0/0/0 和两个千兆以太网接口 G0/0 和 G0/1。 我们曾学过,通常将扩展 ACL 应用到靠近源的位置上。 在该拓扑中,离目标流量的源最近的接口是 G0/0 接口。

Web 从 192.168.10.0/24 LAN 上的用户请求流量对于 G0/0 接口来说是入站。 从已建立连接向 LAN 上的用户返回流量是从 G0/0 接口出站。 该示例在 G0/0 接口的两个方向上都应用了 ACL。 入站 ACL 103 将检查流量类型。 出站 ACL 104 检查从已建立连接返回的流量。 这会将 192.168.10.0 的 Internet 访问限定为仅允许浏览网站。

注意:可以将访问列表应用到 S0/0/0 接口,但在这种情况下,路由器的 ACL 进程必须要检查进入路由器的所有数据包,而不仅是检查往返于 192.168.11.0 的流量。 这将使路由器进行不必要的数据包处理。