CCNP-VACL解析.docxVIP

VACL解析 ? 讨论VACL之前，需要讨论一下访问控制列表，VACL是基于Access-list来完成数据流向确定的。 ? 访问控制列表（Access-list） 1．基于编号的访问列表 ▋标准IP访问控制列表：一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的数据包采取“拒绝”或“允许”两个操作。编号范围为1～99的访问控制列表是标准IP访问控制列表。命令格式： ? Router(config)#access-list [list number] [permit | deny | remark] [host/any] [source address] [wildcard-mask] [log] ? list number表示编号范围：1～99；permit/deny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉；source address源地址；host/any表示为主机匹配地址，host表示一种精确的匹配，其屏蔽码为0.0.0.0，any表示任何主机。 ? ▋扩展访问列表：扩展访问列表主要增加报文过滤能力，一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及特定报文字段。协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等，协议选项是区别标准访问列表的特征之一。除此之外，扩展的列表标号从100～199、2000～2699。语法如下： Router(config)#access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ] ? 2．基于名称的访问列表 ? 基于名称的访问列表遵守和编号IP访问控制列表一样的逻辑，名字可以更加容易地记住访问控制列表的功能，命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。表示要进入的name所指定的列表配置模式，所有的permit和deny操作都是进入到这个模式下进行配置的。 ? 语法如下： Ip access-list standard name Deny {source [source-wildcard] | host source | any} [log] or Permit {source [source-wildcard] | host source | any} [log] ? Ip access-list extended name {deny | permit} protocol {source [source-wildcard] | host source | any} {destination [destination-wildcard] | host destination | any} [precedence precedence] [tos tos] [established] [log] [time-range time-range-name] ? VLAN访问控制列表 (VACL) VACL与RACL，即传??ACL是本质区别的，VACL作用于同一个VLAN，用于确定同一VLAN中的数据流向。它针对于交换机进行配置，而不是针对端口。这点和RACL是不同的。与RACL相比，另一个显著的不同就是VACL不区分inbound和outbound，它针对于整个VLAN而言。RACL是针对端口进行过滤的，它主要用于VLAN之间的数据流向确定。一般情况下，通过VLAN之间ACL实现访问控制比较方便，但是当VLAN的端口比较分散时，采用VACL相对而言就要简单很多。 ? ? 配置VACL的步骤如下: 1.定义VACL.序列号，默认为10,序列号以10进行递增: Switch(config)#vlan access-map {name} [sequence-number] 2.定义匹配条件: Switch(config-access-map)#match {ip|mac} address {ACL} 3.定义执行动作,默认为转发.可选: Switch(config-access-map)#action {forward|drop} 4.把VACL应用在VLAN上. Switch(config)#vlan filter {name} vlan-list {vlan-list} ? 注意事项： 1）最