最近經(jīng)常碰到有人問起Cisco交換機(jī)上如何實(shí)現(xiàn)VLAN之間的訪問控制，一般我都會(huì)告訴對(duì)方，在三層交換機(jī)上直接把ACL應(yīng)用到相應(yīng)VLAN的虛端口就OK了，其實(shí)我自己也沒有機(jī)會(huì)去真正實(shí)踐過。眼下正巧有個(gè)項(xiàng)目涉及到這方面的需求，于是對(duì)如何實(shí)現(xiàn)VLAN之間的訪問控制仔細(xì)研究了一番，這才發(fā)現(xiàn)VLAN訪問控制列表（VACL）和VLAN之間的訪問控制列表其實(shí)在實(shí)現(xiàn)方式上是有很大不同的，雖然從字面上看兩者差不多。

    我們常說的VLAN之間的訪問控制，它的實(shí)現(xiàn)方式是將ACL直接應(yīng)用到VLAN的虛端口上，與應(yīng)用到物理端口的ACL實(shí)現(xiàn)方式是一樣的。而VLAN訪問控制（VACL），也稱為VLAN訪問映射表，它的實(shí)現(xiàn)方式與前者完全不同。它應(yīng)用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的過濾，可以防止未經(jīng)授權(quán)的數(shù)據(jù)流進(jìn)入VLAN。目前支持的VACL操作有三種：轉(zhuǎn)發(fā)(forward)，丟棄(drop)，重定向(redirect)。

    VACL很少用到，在配置時(shí)要注意以下幾點(diǎn)：

    1)  最后一條隱藏規(guī)則是deny ip any any，與ACL相同。
    2)  VACL沒有inbound和outbound之分，區(qū)別于ACL。
    3)  若ACL列表中是permit，而VACL中為drop，則數(shù)據(jù)流執(zhí)行drop。
    4)  VACL規(guī)則應(yīng)用在NAT之前。
    5)  一個(gè)VACL可以用于多個(gè)VLAN中；但一個(gè)VLAN只能與一個(gè)VACL關(guān)聯(lián)。
    6)  VACL只有在VLAN的端口被激活后才會(huì)啟用，否則狀態(tài)為inactive。

    下面，我以Cisco3550交換機(jī)作為實(shí)例來詳細(xì)描述一下兩者之間不同的實(shí)現(xiàn)方式。

   

    網(wǎng)絡(luò)基本情況是劃分了三個(gè)vlan：vlan10、vlan20和vlan30，vlan虛端口的IP地址分別為192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。

    訪問控制要求：vlan10和vlan20之間不能訪問，但都能訪問vlan30。