スイッチのACLを作成しようとしています。
既存のACL ip access-list extended のACLをVLANインターフェースにip access-group inで適用しています。
検索してみてin はパケット受信時に、outはパケット送信時にACLが適用される認識です。
ルーティングはip route で静的ルーティングのみです。
①VLAN間のアクセス制御をしたい場合
inでVLANインターフェースに適用する場合は
ACLの宛先IPアドレスのIPレンジとVLANのIPレンジがマッチし
outでVLANインターフェースに適用する場合は
ACLの宛先IPアドレスのIPレンジとVLANのIPレンジがマッチし
しないと不自然な気がしたのですがその認識でよいでしょうか?
(でないと他のVLANからのinのトラフックや他のVLANへのoutのトラフックにはマッチしないのでdeny、permitしてもルールにマッチしない気がしました。VLAN内での通信を制御したいならわかるのですが)
②基本的なことなのですが、ACLの暗黙のDenyはACLが1個も適用されていないインターフェースに対しては実施されない認識でよいでしょうか?
