最近經常碰到有人問起Cisco交換機上如何實現(xiàn)VLAN之間的訪問控制，一般我都會告訴對方，在三層交換機上直接把ACL應用到相應VLAN的虛端口就OK了，其實我自己也沒有機會去真正實踐過。眼下正巧有個項目涉及到這方面的需求，于是對如何實現(xiàn)VLAN之間的訪問控制仔細研究了一番，這才發(fā)現(xiàn)VLAN訪問控制列表（VACL）和VLAN之間的訪問控制列表其實在實現(xiàn)方式上是有很大不同的，雖然從字面上看兩者差不多。

    我們常說的VLAN之間的訪問控制，它的實現(xiàn)方式是將ACL直接應用到VLAN的虛端口上，與應用到物理端口的ACL實現(xiàn)方式是一樣的。而VLAN訪問控制（VACL），也稱為VLAN訪問映射表，它的實現(xiàn)方式與前者完全不同。它應用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的過濾，可以防止未經授權的數(shù)據(jù)流進入VLAN。目前支持的VACL操作有三種：轉發(fā)(forward)，丟棄(drop)，重定向(redirect)。

    VACL很少用到，在配置時要注意以下幾點：

    1)  最后一條隱藏規(guī)則是deny ip any any，與ACL相同。
    2)  VACL沒有inbound和outbound之分，區(qū)別于ACL。
    3)  若ACL列表中是permit，而VACL中為drop，則數(shù)據(jù)流執(zhí)行drop。
    4)  VACL規(guī)則應用在NAT之前。
    5)  一個VACL可以用于多個VLAN中；但一個VLAN只能與一個VACL關聯(lián)。
    6)  VACL只有在VLAN的端口被激活后才會啟用，否則狀態(tài)為inactive。

    下面，我以Cisco3550交換機作為實例來詳細描述一下兩者之間不同的實現(xiàn)方式。

   

    網絡基本情況是劃分了三個vlan：vlan10、vlan20和vlan30，vlan虛端口的IP地址分別為192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。

    訪問控制要求：vlan10和vlan20之間不能訪問，但都能訪問vlan30。