inbound 概念及题目
我们来详细解析华为/H3C设备中的 inbound 方向概念,并通过详细实验加深理解
第一部分:详细概念解析
-
什么是 inbound?
inbound(入方向)是指数据包进入路由器或交换机接口的方向。它是站在设备的接口视角来定义流量的方向。 -
核心概念:接口视角
理解 inbound 的关键是建立"接口视角":
inbound:数据包从外部网络进入该接口。
outbound:数据包从该接口发出到外部网络。
[网络A] —>(inbound) [接口X] (outbound)—> [网络B]
数据包进入接口 数据包离开接口
- inbound 的方向判断技巧
一个简单的判断方法是:问自己"数据包是否正要进入这个接口?"
如果是 → inbound
如果数据包正要离开这个接口 → outbound
- 何时使用 inbound?
在应用ACL、QoS、流量策略时,需要明确指定方向:
interface GigabitEthernet 0/0/1
traffic-filter inbound acl 3000 # 对进入接口的流量应用ACL 3000
traffic-filter outbound acl 3001 # 对从接口发出的流量应用ACL 3001
- inbound 与 outbound 的对比
特性 inbound outbound
数据流方向 进入接口 离开接口
过滤时机 在路由查询之前 在路由查询之后
效率 更高(无效数据包早期丢弃) 稍低(已占用路由资源)
常见用途 安全防护、流量监控 出站限制、策略路由
第二部分:详细实验
实验目标
通过在不同接口的 inbound 方向应用ACL,理解其工作原理和效果差异。
实验拓扑
[PC1] = (GE0/0/1) [路由器 R1] (GE0/0/2) = [服务器]
192.168.1.10/24 192.168.1.1 10.1.1.1/24 10.1.1.100
实验一:在连接PC的接口GE0/0/1的inbound方向应用ACL
步骤1:基础配置
system-view
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0
[R1-GigabitEthernet0/0/1] quit
[R1] interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2] ip address 10.1.1.1 255.255.255.0
[R1-GigabitEthernet0/0/2] quit
步骤2:创建测试ACL
[R1] acl number 3000
[R1-acl-adv-3000] rule 5 deny tcp source 192.168.1.10 0.0.0.0 destination 10.1.1.100 0.0.0.0 destination-port eq 80
[R1-acl-adv-3000] rule 10 permit ip source any destination any[R