交换机多种ACL应用.pdf

工大瑞普 南京工业大学思科网络技术学院 资深高级讲师 王琳琳 2.2 Catalyst 系列交换机上的 VACL 2.2 Catalyst 系列交换机上的 VACL 在 Catalyst 系列交换机上，我们可以使用 VACL （或者说 VLAN maps）来实现对网络访问的 控制，在学习 VACL 的实施之前，读者必须完全掌握 ACL 的实现方法。 VACL 依赖于ACL，它需要使用 ACL 来对需要采取措施的数据包进行标识。这里需要强调一点： 当用户使用 ACL 标识数据包时，ACL 对数据包的操作一定是“permit”。用 ACL 标识以后，对此 类数据包具体采取什么操作则由VACL 来定义，下面显示了VACL 的设计流程图： 使用不同的ACL对不同类的数据包进行标识（全部是permit语句）： ACL 1：类别1的数据包 ACL 2：类别2的数据包 ACL 3：类别3的数据包 … … h 开始编写VACL： t t 序号10 类别1的数据包 操作：forward或者drop p : / / i t 序号20 类别2的数据包 操作：forward或者drop e m .t a 序号30 类别3的数据包 操作：forward或者drop o … … b a o . 序号最大 其他类别的数据包 操作：drop c o m VACL 采用序号来分辨语句的执行顺序（ACL 采用从上之下的顺序），序号小的语句先执行， / i t 序号大的语句后执行，序号可以由用户自己定义（ACL的语句没有序号，它顺序就是语句输入的 e m 先后顺序）。出于安全考虑，和ACL一样，VACL的末尾也包含一条隐式拒绝一切的语句。 .h t m 『注意』VACL 没有方向性，它并不是应用与某个接口的，而是应用于整个 VLAN 的。 ? s p 下表列出了定义 VACL 所需要使用的命令与解释： m=