我們常說的VLAN之間的訪問控制,它的實現(xiàn)方式是將ACL直接應用到VLAN的虛端口上,與應用到物理端口的ACL實現(xiàn)方式是一樣的。而VLAN訪問控制(VACL),也稱為VLAN訪問映射表,它的實現(xiàn)方式與前者完全不同。它應用于VLAN中的所有通信流,支持基于ETHERTYPE和MAC地址的過濾,可以防止未經授權的數(shù)據(jù)流進入VLAN。目前支持的VACL操作有三種:轉發(fā)(forward),丟棄(drop),重定向(redirect)。
VACL很少用到,在配置時要注意以下幾點:
1) 最后一條隱藏規(guī)則是deny ip any any,與ACL相同。
2) VACL沒有inbound和outbound之分,區(qū)別于ACL。
3) 若ACL列表中是permit,而VACL中為drop,則數(shù)據(jù)流執(zhí)行drop。
4) VACL規(guī)則應用在NAT之前。
5) 一個VACL可以用于多個VLAN中;但一個VLAN只能與一個VACL關聯(lián)。
6) VACL只有在VLAN的端口被激活后才會啟用,否則狀態(tài)為inactive。
下面,我以Cisco3550交換機作為實例來詳細描述一下兩者之間不同的實現(xiàn)方式。

網絡基本情況是劃分了三個vlan:vlan10、vlan20和vlan30,vlan虛端口的IP地址分別為192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。
訪問控制要求:vlan10和vlan20之間不能訪問,但都能訪問vlan30。