VLAN自身通信--VLAN 之间的访问控制

    二．IOS系统下的VACL

    1．编写ACL

　　（1）表准访问控制列表

　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的数据包采取“拒绝”或“允许”两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。语法如下：

　　router(config)#access-list [list number][permit | deny | remark][host/any][source a ddress][wildcard-mask][log]

　　（2）扩展访问列表

　　扩展访问列表主要增加报文过滤能力，一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及在特定报文字段。协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等，协议选项是区别标准的访问列表的特征之一。扩展的列表标号从100~199，2000~2699。

　　（3）基于名称的访问列表

　　基于名称的访问列表遵守和数字的IP访问控制列表一样的逻辑，名字可以更加容易的记住访问控制列表的功能，命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。语法如下：

　　router(config)#ip access-list {standard | extended} name

　　这表示要进入的name所指定的列表配置模式，所有的permit和deny操作都是进入到这个模式下进行配置的。

    2．创建映射

　　VACL主要区别于上述ACL操作的方法，就是将已经创建好的ACL映射到一个VLAN上。创建映射分为3步，命令与法和解释如下：

　　命令一：(global) vlan access-map name [number]

　　vlan access-map后面的名字定义的时候最好有针对性或者提示性，而后续的设置的子句都使用number选项。如果在这里进行了分组的设置，每一个子句都要经过匹配检测，直到没有发现匹配语句才丢弃分组。

　　命令二：(vlan-map) match ip address {aclname | aclnumber}

　　执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是你在前面配置ACL的名称或编号，而ACL定义的permit语句在这里表示匹配的意思，deny表示不匹配。

　　命令三：(vlan-map) action {drop | forward}

　　交换机根据匹配ACL确定的匹配，action命令后面的参数才是代表流量是允许（forward）还是丢弃（drop）。

    3．应用与检查

　　完成之前的配置后，需要用vlan filter命令把访问列表应用到交换机。格式如下：

　　(global) vlan filter mapname vlan-list list

　　Mapname参数对应的是vlan access-map命令创建的映射名称，list是vlan的序号。都配置完成之后，可以利用show命令检查VACL工作的状态，命令如下：

    * show ip access-lists [number | name]

    * show vlan access-map [mapname]

    * show vlan filter [access-map name | vlan vlan-id]

    * show ip interface type number

上一页  [1] [2] [3] 下一页

【责编:Zenghui】