话我交换机acl vlan 交换机的acl配置

交换机的ACL配置及实例介绍

本篇又来讲ACL了，看到我那篇写高级ACL的访问量还是蛮多的，还是比较开心的，我自己本意写这个主要是当作一个移动的笔记以及分类方便我自己查看，希望这些对你们也有所帮助，再次感谢你们的观看。谢谢！
本篇主要讲一下交换机的acl，一般都是配置在汇聚层的三层交换机上，和路由器的ACL有所区别，也有一致的，这里 介绍三种交换机的ACL，分别作为RACL,VACL.PACL。三种ACL各有优劣，还是那句话，具体看需求来追求最佳的解决方案。

三种ACL的配置及特性

RACL
RACL与路由器的ACL最为类似，并且是运用于三层接口的，对二层接口的流量不具有调用信，可调用在in接口和out接口，只需调用一方向的数据流量。

SW2(config)#ip access-list extended RACL
 SW2(config-ext-nacl)#deny ip host 192.168.10.1 host 192.168.20.1
 SW2(config-ext-nacl)#permit ip any any
 SW2(config-if)#ip access-group RACL in

VACL
VACL是居于vlan的acl,可以调用不同vlan的流量控制，可以调用二层和三层接口的数据流量，且优先性也比RACL优先，但是无方向性，需要对进入和离开的流量进行双方向的控制，是三种配置中相对较难的配置。

SW2(config)#ip access-list extended VACL //定义ACL。用于抓取某些流量。
 SW2(config-ext-nacl)#permit icmp host 192.168.10.1 host 192.168.10.2 SW2(config-ext-nacl)#permit icmp host 192.168.10.2 host 192.168.10.1 //注意双向抓取
 Switch(config)#vlan access-map R1R2 10 //定义access-map
 Switch(config-access-map)#match ip address VACL //匹配上ACL所定义的流量
 Switch(config-access-map)#action drop //对这股流量进行转发或过滤操作
 Switch(config)#vlan filter R1R2 vlan-list 10 //使用vlan 过滤列表 匹配access-map 并应用在某个vlan 内。

PACL
PACL可以对二层和三层接口的流量进行控制，且优先级也是最大的，优先于所以ACL进行处理，但是PACL只能对IN方向的流量进行控制，配置于RACL相似。

SW2(config)#ip access-list extended PACL
 SW2(config-ext-nacl)#deny icmp host 192.168.10.1 host 192.168.10.
 SW2(config-if)#ip access-group PACL in

实例配置介绍

环境：SW1与SW2作为三层交换机，R1,R2,R3模拟PC，配置静态路由和SVI实现全网通信。

需求1：使用RACL,使得R1无法ping通R3。

需求2：使用VACL，使得R1无法ping通R2。

需求3：在需求2的基础上，修改成R1可以ping通R2，再使用PACL，使得R1无法ping通R2。

配置命令：
先配置好全网通，检查通信，这里配置不再介绍。

需求1：

SW2(config)#ip access-list extended RACL
 SW2(config-ext-nacl)#deny ip host 192.168.10.1 host 192.168.20.1
 SW2(config-ext-nacl)#permit ip any any
 SW2(config-if)#ip access-group RACL in

配置完成，查看R1是否可以ping通R3

结果很明显，已经无法访问。

需求2：
补充：这里介绍一下需求2使用RACL是无法达到效果的，理由是R1与R2是直连在SW2上的，他们之间只需在二层接口上实现通信，RACL只能过滤三层接口的数据包，故而无法起到要求的效果。感兴趣的可以手动尝试一次，这里不做介绍。

SW2(config)#ip access-list extended VACL //定义ACL。用于抓取某些流量。
 SW2(config-ext-nacl)#permit icmp host 192.168.10.1 host 192.168.10.2 SW2(config-ext-nacl)#permit icmp host 192.168.10.2 host 192.168.10.1 //注

意双向抓取

Switch(config)#vlan access-map R1R2 10 //定义access-map
 Switch(config-access-map)#match ip address VACL //匹配上ACL所定义的流量
 Switch(config-access-map)#action drop //对这股流量进行转发或过滤操作
 Switch(config)#vlan filter R1R2 vlan-list 10 //使用vlan 过滤列表 匹配access-map 并应用在某个vlan 内。

配置完成，来查看R1是否能ping通R2。

结果很明显，不能通信。需求3：

要将需求2的R1不能pingR2改为通，只需修改下面的命令，将drop改为forward

SW2(config)#vlan access-map R1R2 10
 SW2(config-access-map)#action forward

配置完成，查看R1成功ping通R2。

SW2(config)#ip access-list extended PACL
 SW2(config-ext-nacl)#deny icmp host 192.168.10.1 host 192.168.10.
 SW2(config-if)#ip access-group PACL in

配置完成，来查看R1已经不能ping通R2了。

乍一看这配置与RAVL有点一样，其实区别就在于接口的调用，PACL调用的接口是二层接口，且只有in可以选择。

结尾

到此，三种方法讲述完毕，尤其是ACL，要更加的主要其流量的配置和控制。其他两种适当的有个印象即可，毕竟也算是比较简单。最后，感谢你们的观看。