本文转自:http://hebe852.blog.163.com/blog/static/120726248200982295553758/
同普通的访问控制列表不同,VACL是用在VLAN内对数据进行过滤的,而前者是用在第三层接口对出入的数据包进行过滤,例如:在同一个VLAN内部,我们可能不允许其他主机对另一台主机进行访问,此时我们可以使用VLAN来实现,其配置方法如下:
1.创建VACL(是以映射表方式配置的)
Switch(config)#vlan access-map map-name [seq-number]
2.配置匹配条件
Switch(config-access-map)#match ip address {acl-num | acl-name}
3.定义行为
Switch(config-access-map)#act
4.应用VACL到VLAN
Switch(config)#vlan filter map-name vlan-list vlan-list
5.例如:在VLAN 2内禁止主机192.168.0.1访问VLAN内的其他主机
Switch(config)#access-list 101 permit ip host 192.168.0.1 192.168.0.0 0.0.0.255
Switch(config)#vlan access-map denyhost1 10
Switch(config-access-map)#match ip address 101
Switch(config-access-map)#act
Switch(config-access-map)#vlan access-map denyhost1 20
Switch(config-access-map)#act
Switch(config-access-map)#exit
Switch(config)#vlan filter denyhost1 vlan-list 2
同普通访问列表一样,VACL后面也有一条默认拒绝的语句,所以必须配置允许其他数据流(第五,六语句)
评论