vlan access-map簡稱VACL,是指Vlan訪問控制列表,實現方式為將ACL直接套用到VLAN的虛連線埠上。
基本介紹
- 中文名:Vlan 訪問控制列表
- 外文名:vlan access-map
- 簡稱:VACL
- 實現方式:將ACL直接套用到VLAN的虛連線埠上
- VACL操作:轉發,丟棄,重定向。
基本信息,配置命令,注意事項,配置實例,
基本信息
Vlan 訪問控制列表,簡稱VACL。
RACL和VACL
RACL和VACLVLAN之間的訪問控制,它的實現方式是將ACL直接套用到VLAN的虛連線埠上,與套用到物理連線埠的ACL實現方式是一樣的。而VLAN訪問控制(VACL),也稱為VLAN訪問映射表,它的實現方式與前者完全不同。它套用於VLAN中的所有通信流,支持基於ETHERTYPE和MAC地址的過濾,可以防止未經授權的數據流進入VLAN。目前支持的VACL操作有三種:轉發(forward),丟棄(drop),重定向(redirect)。
配置命令
1.定義Vlan access-map:
Switch(config)#vlan access-map map_name [seq#]
2.選擇ACL,用於捕獲流量:
Switch(config-access-map)#match{ip address {1-199 | 1300-2699 | acl_name} | ipx address {800-999 | acl_name}| mac address acl_name}
3.選擇執行動作:
Switch(config-access-map)#action {drop [log]} | {forward [capture]} | {redirect {type slot/port} | {port-channel channel_id}}
4.套用於特定VLAN:
Switch(config)#vlan filter map_name vlan_listlist
注意事項
1) 最後一條隱藏規則是deny ip any any,與ACL相同。
2) VACL沒有inbound和outbound之分,區別於ACL。
3) 若ACL列表中是permit,而VACL中為drop,則數據流執行drop。
4) VACL規則套用在NAT之前。
5) 一個VACL可以用於多個VLAN中;但一個VLAN只能與一個VACL關聯。
6) VACL只有在VLAN的連線埠被激活後才會啟用,否則狀態為inactive。
配置實例
思科設備配置實例,假設需要在VALN 99 內部過濾數據流,禁止地址為192.168.99.17的主機和本地子網中的其他主機聯繫
Switch(config)#ip access-list extended local-17
Switch(config-acl)#permit ip host 192.168.99.17 192.168.99.0 0.0.0.255
Switch(config-acl)# exit
Switch(config)#vlan access-map block-17 10
matchip address local-17
Switch(config-access-map)# action drop
Switch(config-access-map)#vlan access-map block-17 20
Switch(config-access-map)#actionforward
Switch(config-access-map)# exit
Switch(config)#vlan filter block-17 vlan-list 99
