2024年4月2日发(作者:)

VLAN映射表配置与VLAN ACL及router map比较

VLAN映射表配置

配置步骤:

1、定义vlan的访问图,访问图可以有多条语句,每个语句有一个编号

2、定义匹配条件,可以匹配ip address、mac addres

3、执行动作,丢弃、转发、重定向

4、应用vlan的访问图到指定的vlan #vlan filter map-name vlan_list list

VLAN访问控制(VACL),也称为VLAN访问映射表,它应用于VLAN中的所有通信

流,支持基于ETHERTYPE和MAC地址的过滤,可以防止未经授权的数据流进入VLAN。

目前支持的VACL操作有三种:转发(forward),丢弃(drop),重定向(redirect)。

VACL很少用到,在配置时要注意以下几点:

1) 最后一条隐藏规则是deny ip any any,与ACL相同。

2) VACL没有inbound和outbound之分,区别于ACL。

3) 若ACL列表中是permit,而VACL中为drop,则数据流执行drop。

4) VACL规则应用在NAT之前。

5) 一个VACL可以用于多个VLAN中;但一个VLAN只能与一个VACL关联。

6) VACL只有在VLAN的端口被激活后才会启用,否则状态为inactive。

例:三层交换机上,用VLAN间ACL

实验环境:VAN10,VLAN20,VLAN30。要求 VLAN20,30都能访问VLAN10,但20,

30之间不能相互访问.

三层switch配置:

access-list 120 permit ip any 192.168.30.0 0.0.0.255

access-list 130 permit ip any 192.168.20.0 0.0.0.255

vlan access-map deny20-30 100 定义vlan的访问图deny20-30,序号100

match ip add 120 定义匹配条件,匹配access-list 120

action drop 执行动作

exit