首页新闻资讯管理维护网络安全机房管理部署集成网管工具网管资料专题论坛 杂志
当前位置:首页 >> 管理维护 >> VLAN >> Vlan端口部署ACL与VACL的差异(2)
Vlan端口部署ACL与VACL的差异(2)
来源:中国IT实验室 作者: 发布时间:2008-05-09
一)     通过VLAN之间ACL方式实现

    ******** 配置VLAN ********
    Switch(config)# vlan 10  // 创建vlan 10
    Switch(config-vlan)# vlan 20
    Switch(config-vlan)# vlan 30
    Switch(config-vlan)# int vlan 10
    Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP
    Switch(config-if)# int vlan 20
    Switch(config-if)# ip address 192.168.20.1 255.255.255.0
    Switch(config-if)# int vlan 30
    Switch(config-if)# ip address 192.168.30.1 255.255.255.0

    ******** 配置ACL ********
    Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
    Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

    ******** 应用ACL至VLAN端口 ********
    Switch(config)# int vlan 10
    Switch(config-if)# ip access-group 101 in
    Switch(config)# int vlan 20
    Switch(config-if)# ip access-group 102 in

    ******** 完毕 ********

    (二)     通过VACL方式实现

    ******** 配置VLAN ********

    (同上)

    ******** 配置ACL ********
    Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
    Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
    (不同之处:因为VACL对数据流没有inbound和outbound之分,所以要把允许通过某vlan的IP数据流都permit才行。VLAN10允许与VLAN30通讯,而数据流又是双向的,所以要在ACL中增加VLAN30的网段)
    Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
    Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

    ******** 配置VACL ********

    第一步:配置vlan access map
    Switch(config)# vlan access-map test1  //定义一个vlan access map,取名为test1
    Switch(config-vlan-access)# match ip address 101 // 设置匹配规则为acl 101
    Switch(config-vlan-access)# action forward // 匹配后,设置数据流转发(forward)
    Switch(config)# vlan access-map test2  //定义一个vlan access map,取名为test2
    Switch(config-vlan-access)# match ip address 102 // 设置匹配规则为acl 102
    Switch(config-vlan-access)# action forward // 匹配后,设置数据流转发(forward)

    第二步:应用VACL
    Switch(config)# vlan filter test1 vlan-list 10 //将上面配置的test1应用到vlan10中
    Switch(config)# vlan filter test2 vlan-list 20 //将上面配置的test1应用到vlan20中

    ******** 完毕 ********

    以上就是关于VLAN之间ACL和VACL的简单配置实例。我个人认为一般情况下,通过VLAN之间ACL实现访问控制比较方便,但是当VLAN的端口比较分散时,采用VACL相对而言就要简单很多。不过使用VACL的前提是交换机支持此功能,目前可能只有Cisco 3550、4500和6500系列的交换机支持。
  

(责任编辑:JP)
阅读次数:
上一篇:Vlan端口部署ACL与VACL的差异(1)   下一篇:绿盟科技再获“最值得信赖的安全服务品牌”奖牌
[收藏] [推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]
快速检索
相关文章
·视频不能跨VLAN
·融会贯通 配置VLAN
·VLAN技术在酱园风中的应用
·多VLAN中的DHCP
·VLAN配置实例
·配置VLAN前的准备
·VLAN在企业网中的应用
·不同交换机间VLAN互联和互通的解决
·融会贯通配置VLAN
·在两个不同Cisco Catalyst 19创建V
热点文章
·交换机 + ROS VLAN设置实例
·Cisco 2950如何划分公共VLAN?
·VLAN配置实例
·架设基于IP地址的VLAN
·如何在交换机上配置VLAN的划分
·不同交换机间VLAN互联和互通的解决
·如何使用三层交换机构建企业VLAN(2
·VLAN的划分方法
·控制VLAN互访
·Catalyst5500交换机 VLAN设置
推荐文章
 
网友评论
评论加载中…
 
友情链接 | 欢迎投稿 | 杂志发行 | 广告报价 | 人才招聘 | 服务条款 | 免责声明 | 隐私保护 | 关于网管员世界
CopyRight © 2001-2008 [网管员世界 www.365master.com] All Rights Reserved.
《网管员世界》杂志,专为网管服务的刊物!
京ICP证041415号