亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

VLAN之間ACL和VACL的區(qū)別(1)
2008-06-06   中國IT實驗室

最近經常碰到有人問起Cisco交換機上如何實現(xiàn)VLAN之間的訪問控制,一般我都會告訴對方,在三層交換機上直接把ACL應用到相應VLAN的虛端口就OK了,其實我自己也沒有機會去真正實踐過。眼下正巧有個項目涉及到這方面的需求,于是對如何實現(xiàn)VLAN之間的訪問控制仔細研究了一番,這才發(fā)現(xiàn)VLAN訪問控制列表(VACL)和VLAN之間的訪問控制列表其實在實現(xiàn)方式上是有很大不同的,雖然從字面上看兩者差不多。

    我們常說的VLAN之間的訪問控制,它的實現(xiàn)方式是將ACL直接應用到VLAN的虛端口上,與應用到物理端口的ACL實現(xiàn)方式是一樣的。而VLAN訪問控制(VACL),也稱為VLAN訪問映射表,它的實現(xiàn)方式與前者完全不同。它應用于VLAN中的所有通信流,支持基于ETHERTYPE和MAC地址的過濾,可以防止未經授權的數(shù)據(jù)流進入VLAN。目前支持的VACL操作有三種:轉發(fā)(forward),丟棄(drop),重定向(redirect)。

    VACL很少用到,在配置時要注意以下幾點:

    1)  最后一條隱藏規(guī)則是deny ip any any,與ACL相同。
    2)  VACL沒有inbound和outbound之分,區(qū)別于ACL。
    3)  若ACL列表中是permit,而VACL中為drop,則數(shù)據(jù)流執(zhí)行drop。
    4)  VACL規(guī)則應用在NAT之前。
    5)  一個VACL可以用于多個VLAN中;但一個VLAN只能與一個VACL關聯(lián)。
    6)  VACL只有在VLAN的端口被激活后才會啟用,否則狀態(tài)為inactive。

    下面,我以Cisco3550交換機作為實例來詳細描述一下兩者之間不同的實現(xiàn)方式。

   

網絡拓撲圖

    網絡基本情況是劃分了三個vlan:vlan10、vlan20和vlan30,vlan虛端口的IP地址分別為192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。

    訪問控制要求:vlan10和vlan20之間不能訪問,但都能訪問vlan30。

熱詞搜索:

上一篇:局域網中配置VLAN基本方法(5)
下一篇:VLAN之間ACL和VACL的區(qū)別(2)

分享到: 收藏