VLAN 之间 ACL 和 VACL 的区别
最近经常碰到有人问起 Cisco 交换机上如何实现 VLAN 之间的访问控制,一般我都会告诉对
方,在三层交换机上直接把 ACL 应用到相应 VLAN 的虚端口就 OK 了,其实我自己也没有机会
去真正实践过。眼下正巧有个项目涉及到这方面的需求,于是对如何实现 VLAN 之间的访问
控制仔细研究了一番,这才发现 VLAN 访问控制列表(VACL)和 VLAN 之间的访问控制列表其
实在实现方式上是有很大不同的,虽然从字面上看两者差不多。
我们常说的 VLAN 之间的访问控制,它的实现方式是将 ACL 直接应用到 VLAN 的虚端口上,与
应用到物理端口的 ACL 实现方式是一样的。而 VLAN 访问控制(VACL),也称为 VLAN 访问映
射表,它的实现方式与前者完全不同。它应用于 VLAN 中的所有通信流,支持基于 ETHERTYPE
和 MAC 地址的过滤,可以防止未经授权的数据流进入 VLAN。目前支持的 VACL*作有三种:转
发(forward),丢弃(drop),重定向(redirect)。
VACL 很少用到,在配置时要注意以下几点:
1) 最后一条隐藏规则是 deny ip any any,与 ACL 相同。
2) VACL 没有 inbound 和 outbound 之分,区别于 ACL。bbs.itzero.com"Y _,n%yV'] ?-v
3) 若 ACL 列表中是 permit,而 VACL 中为 drop,则数据流执行 drop。
4) VACL 规则应用在 NAT 之前。网络,技术,路由,交换,安全,IT,通信,考试,认
证,TESTKING,视频,msce,ccna,ccnp,思科,华为,配置-e!C1c"C)U;e5}
5) 一个 VACL 可以用于多个 VLAN 中;但一个 VLAN 只能与一个 VACL 关联。
6) VACL 只有在 VLAN 的端口被激活后才会启用,否则状态为 inactive。
下面,我以 Cisco3550 交换机作为实例来详细描述一下两者之间不同的实现方式。
网络拓扑图
网络基本情况是划分了三个 vlan:vlan10、vlan20 和 vlan30,vlan 虚端口的 IP 地址分别
为 192.168.10.1/24、192.168.20.1/24 和 192.168.30.1/24。网络,技术,路由,交换,安全,IT,
通信,考试,认证,TESTKING,视频,msce,ccna,ccnp,思科,华为,配置(X7U1d0O~)B/_d!l2PB
访问控制要求:vlan10 和 vlan20 之间不能访问,但都能访问 vlan30。IT 动力源 6g
\
?7R8c:`6P
IT 动力源 itzero.com 最专业的 IT 技术交流认证论坛h0v HEI|
(一) 通过 VLAN 之间 ACL 方式实现 bbs.itzero.com
评论0