vlan访问控制列表(vacl).docx

在 VLAN 之间设置访问控制的方法 VLAN技术是解决DDO敦击、IP地址冲突等问题的良好解决方案， 但其本身却存在一个 严重问题：不同 VLAN网络间不能直接通信，这将如何办？ 很多企业部署VLAN之后，由于处于不同VLA N的计算机之间不能直接通信，使网络的安 全性能得到了很大提高。但事实上在很多网络中要求不是这样的，如何解决 VLAN间的通信 问题是我们在规划 VLAN时必须认真考虑的问题。在网络组建初期，网络中只有 10%~20喲 信息在VLAN之间传播，但随着用户应用的增多， VLAN之间信息的传输量增加了许多倍，女口 果VLAN之间的通信问题解决得不好，将严重影响网络的使用和安全。 VACL(VLANACL和定时访问列表、动态访问列表、自反访问列表一样都属于 ACL扩展 应用的一部分，它定义了基于 3层以上的信息流量，而所对应的参数则用于 2 层的 VLAN。 VACL多是针对硬件里面应用，比传统的路由器访问列表处理速度明显快的多。本文将介绍 VACL的应用和操作步骤。 一. COS系统下的 VACL 任何一中流量控制的策略必须要首先制定要控制的是哪一种流量， 以及如何处理这些流 量。VACL与普通的ACL的相同，列表也是按照顺序进行匹配的。 ACL号相同的所有ACL形成 一个组， 在判断一个数据帧时， 使用同一组中的条目从上到下逐一进行判断， 一遇到满足的 条目就终止对该数据帧的判断。基本的配置方法如下： ．配置 ACL Set security acl ip {acl_name} {permit |deny |redirect mod/port} {protocol} {sourceaddress mask} [op] [srcport] {dest mask} [op] [destport] [before editbuffer_index |modify editbuffer_index] [log] Set security acl ip 命令后面指定 IP ACL 的名字，后面是协议的说明和采取的措施。 Permit |deny 分别对应为： Permit 是允许通过， deny 是丢弃包。如果加上 Redirect 选项就代表不使用 CAM( content addressable memory )，而把流量发送到交换机上一个指 定的mod/port对应的端口上。对于 COS的交换机来说 ACL直到被提交之前都首先写入一个 特殊的缓冲区，并不作为交换机当前运行的条目， before 和 modify 参数是指将配置的 acl 条目放到某条列表之前或者修改其实的参数。 ．写入到 TCAM 前面已经说到了，在配置完 ACL之后，它只在编辑缓冲区里面，我们必须同过 commit security acl 命令将配置写入到 TCAM( ternary content addressable memory )。完整的 命令参数如下： commit security acl {name | all } name 选项为只提交指定的名称列表（可以使用 show security acl ip name editbuffer 查看编辑缓冲区内未被提交到内容的控制条目）， all 选项指提交所有未写入的 VACL。 ．映射到 VLAN VACL 与 ACL 都需要在提交之后把它们对应到作用对象上，如 interface vlan1///ip access-group 101 out ：这两句将 access-list 101 应用到 vlan1 接口的 out 方向。其中 101是ACL号，和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤， 可以有in和out两种选择。COS VACL的配置同上面的道理一样，具体体现在：一个 VLAN 只能有一个 VACL映射对其起作用，但一个 VACL可以同时被多个 VLAN同时调用。命令参数 如下： Set security acl map acl_name vlan 可以查看编辑缓冲区的内容以外，除了使用 show security acl ip name editbuffer 可以查看编辑缓冲区的内容以外， 在应用到VLAN以后，我们可以使用 show security acl info 和show security acl map核 实对配置和映射的结果。 二． IOS 系统下的 VACL ．编写 ACL 1 ）表准访问控制列表 一个标准 IP 访问控制列表匹配 一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分， 可对匹配的数据 编号范围是从 1 编号范围是从 1 到 99的访问控制列表是标准 IP 访问 控制列表。语法如下：