VLAN访问控制列表

VLAN访问控制列表(VACL)的配置方法
同普通的访问控制列表不同,VACL是用在VLAN内对数据进行过滤的,而前者是用在第三层接口对出入的数据包进行过滤,例如:在同一个VLAN内部,我们可能不允许其他主机对另一台主机进行访问,此时我们可以使用VLAN来实现,其配置方法如下:
1.创建VACL(是以映射表方式配置的)
Switch(config)#vlan access-map map-name [seq-number]
2.配置匹配条件
Switch(config-access-map)#match ip address {acl-num | acl-name}
3.定义行为
Switch(config-access-map)#action {drop | forward | redirect type mode/num}
4.应用VACL到VLAN
Switch(config)#vlan filter map-name vlan-list vlan-list
5.例如:在VLAN 2内禁止主机192.168.0.1访问VLAN内的其他主机
Switch(config)#access-list 101 permit ip host 192.168.0.1 192.168.0.0 0.0.0.255
Switch(config)#vlan access-map denyhost1 10
Switch(config-access-map)#match ip address 101
Switch(config-access-map)#action drop
Switch(config-access-map)#vlan access-map denyhost1 20
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Switch(config)#vlan filter denyhost1 vlan-list 2
同普通访问列表一样,VACL后面也有一条默认拒绝的语句,所以必须配置允许其他数据流(第五,六语句)

有时候需要在VLAN上做访问控制，需要使用访问控制列表，下面是个配置例子：

1、定义VLAN访问控制列表vlan access-map spoto 10   match ip add 1   action forwardvlan access-map spoto 20   action drop2、应用到VLAN11上vlan filter spoto vlan-list 113、访问控制列表的定义access-list 1 per 172.16.1.0 0.0.0.255

这个应用在各个不同VLAN之间的通信隔离，访问控制上，非常有用！

以上未在真实环境中尝试过！