本文转自:http://hebe852.blog.163.com/blog/static/120726248200982295553758/

VLAN访问控制列表(VACL)的配置方法

同普通的访问控制列表不同,VACL是用在VLAN内对数据进行过滤的,而前者是用在第三层接口对出入的数据包进行过滤,例如:在同一个VLAN内部,我们可能不允许其他主机对另一台主机进行访问,此时我们可以使用VLAN来实现,其配置方法如下:

1.创建VACL(是以映射表方式配置的)

Switch(config)#vlan access-map map-name [seq-number]

2.配置匹配条件

Switch(config-access-map)#match ip address {acl-num | acl-name}

3.定义行为

Switch(config-access-map)#action {drop | forward | redirect type mode/num}

4.应用VACL到VLAN

Switch(config)#vlan filter map-name vlan-list vlan-list

5.例如:在VLAN 2内禁止主机192.168.0.1访问VLAN内的其他主机

Switch(config)#access-list 101 permit ip host 192.168.0.1 192.168.0.0 0.0.0.255

Switch(config)#vlan access-map denyhost1 10

Switch(config-access-map)#match ip address 101

Switch(config-access-map)#action drop

Switch(config-access-map)#vlan access-map denyhost1 20

Switch(config-access-map)#action forward

Switch(config-access-map)#exit

Switch(config)#vlan filter denyhost1 vlan-list 2

同普通访问列表一样,VACL后面也有一条默认拒绝的语句,所以必须配置允许其他数据流(第五,六语句)