VLAN之间ACL和VACL的区别（下）

（二）通过VACL方式实现
　　

******** 配置VLAN ********
　　　　　　　
　　　　　　　（同上）

******** 配置ACL ********

Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
（不同之处：因为VACL对数据流没有inbound和outbound之分，所以要把允许通过某vlan的IP数据流都permit才行。VLAN10允许与VLAN30通讯，而数据流又是双向的，所以要在ACL中增加VLAN30的网段）
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

******** 配置VACL ********

第一步：配置vlan access map
Switch(config)# vlan access-map test1 //定义一个vlan access map，取名为test1
Switch(config-vlan-access)# match ip address 101 // 设置匹配规则为acl 101
Switch(config-vlan-access)# action forward // 匹配后，设置数据流转发（forward）
Switch(config)# vlan access-map test2 //定义一个vlan access map，取名为test2
Switch(config-vlan-access)# match ip address 102 // 设置匹配规则为acl 102
Switch(config-vlan-access)# action forward // 匹配后，设置数据流转发（forward）

第二步：应用VACL
Switch(config)# vlan filter test1 vlan-list 10 //将上面配置的test1应用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //将上面配置的test1应用到vlan20中

　　以上就是关于VLAN之间ACL和VACL的简单配置实例。我个人认为一般情况下，通过VLAN之间ACL实现访问控制比较方便，但是当VLAN的端口比较分散时，采用VACL相对而言就要简单很多。不过使用VACL的前提是交换机支持此功能，目前可能只有Cisco 3550、4500和6500系列的交换机支持。

我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。

我原创，你原创，我们的内容世界才会更加精彩！

【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget

官方微博

TechTarget中国

VLAN之间ACL和VACL的区别（下）

取消回复

相关推荐

CISCO常用配置命令及参数（二）

LAN 边缘交换机安全性功能详解

下一代的智能交换机能否站稳市场前沿

浅析智能性边缘交换机