vlan acl vacl

最近经常碰到有人问起Cisco交换机上如何实现VLAN之间的访问控制，一般我都会告诉对方，在三层交换机上直接把ACL应用到相应VLAN的虚端口就OK了，其实我自己也没有机会去真正实践过。

眼下正巧有个项目涉及到这方面的需求，于是对如何实现VLAN之间的访问控制仔细研究了一番，这才发现VLAN访问控制列表（VACL）和VLAN之间的访问控制列表其实在实现方式上是有很大不同的，虽然从字面上看两者差不多。

我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。

而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。

它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。

目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

VACL很少用到，在配置时要注意以下几点：1) 最后一条隐藏规则是deny ip any any，与ACL相同。

2) VACL没有inbound和outbound之分，区别于ACL。

3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。

4) VACL规则应用在NAT之前。

5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

6) VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

下面，我以Cisco3550交换机作为实例来详细描述一下两者之间不同的实现方式。

网络拓扑图网络基本情况是划分了三个vlan：vlan10、vlan20和vlan30，vlan虚端口的IP地址分别为192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。

访问控制要求：vlan10和vlan20之间不能访问，但都能访问vlan30。

1.1Cisco Catalyst 4948系列交换机产品简介Cisco Catalyst 4948是一款线速、低延迟、第二到四层、1机架单元（1RU）固定配置交换机，可提供进行了优化设计的的服务器集群机架的交换。

Cisco Catalyst 4948以成熟的Cisco Catalyst 4500系列硬件和软件架构为基础，为高性能服务器和工作站的低密度、多层汇聚提供了出色性能和可靠性。

Cisco Catalyst 4948具有48个线速10/100/1000BASE-T端口，并另有4个线速端口，可容纳可选1000BASE-X小型可插拔(SFP)光接口1。

可选的内部AC或DC 1+1热插拔电源和带冗余风扇的一个热插拔风扇架提供了优秀的可靠性和可维护性（参见图1和2）。

图1 Cisco Catalyst 4948系列交换机图2 带双冗余电源和可拆除风扇架的Cisco Catalyst 4948的后视图主要特性和优势线速10/100/1000连接性能Cisco Catalyst 4948采用了一个96Gbps交换矩阵，在硬件中为第二到四层流量提供了72Mpps的转发速率，从而为数据密集型应用提供了线速吞吐率和低延迟。

无论有多少路由条目或启用了多少第二层和第四层服务，都能保证交换性能。

基于硬件的思科快速转发路由架构提高了可扩展性和性能。

Cisco Catalyst 4948在前面板上有52个物理交换端口(48个10/100/1000和4个SFP)。

在任意时间，最多能以任意组合激活其中的48个端口。

电源冗余可实现不间断运营Cisco Catalyst 4948通过1+1冗余热插拔内部AC或DC电源，为关键应用提供了可靠性。

当电源连接到不同电路时，1+1电源设计提供了A到B故障转换。

同一设备中可混用AC和DC电源，以实现最大部署灵活性。

Cisco Catalyst 4948 也拥有一个带4个冗余风扇的热插拔风扇架，可提供更高可维护性和可用性。

核心交换机各项配置 Vlan划分、互访、ACL管控、链路聚合教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

这篇文章主要为大家介绍了核心交换机配置的方法，比如给核心交换机配置Vlan划分、互访、ACL管控、链路聚合等，需要的朋友可以参考下。

概念介绍访问控制列表(Access Control List，ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

链路聚合是将两个或更多数据信道结合成一个单个的信道，该信道以一个单个的更高带宽的逻辑链路出现。

链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。

具体配置#!Software Version V200R001C00SPC300sysname IT_ServerRoom #交换机名称##vlan batch 10 20 30 40 50 60 70 80 90 99 to 100 #设置Vlan# vlan batch 110#lacp priority 100 #链路聚合优先级设定##undo http server enable#undo nap slave enable#dhcp enable #打开DHCP功能##acl number 3001 #配置ACL访控#rule 4 permit tcp source 0.0.0.0 192.168.21.11 destination-port eq 3389 #允许指定IP使用远程协助#rule 5 permit tcp source 0.0.0.0 192.168.21.13 destination-port eq 3389rule 6 permit tcp source 0.0.0.1 192.168.11.254 destination-port eq 3389rule 7 permit tcp source 0.0.0.0 192.168.51.13 destination 0.0.0.0 192.168.11.10 destination-port eq 3389rule 8 permit tcp source 0.0.0.0 192.168.81.31 destination 0.0.0.0 192.168.11.10 destination-port eq 3389rule 9 permit tcp source 0.0.0.0 192.168.21.14 destination 0.0.0.0 192.168.11.12 destination-port eq 3389rule 10 permit tcp source 0.0.0.3 192.168.21.12 destination-port eq telnetrule 11 permit tcp source 0.0.0.1 192.168.11.254 destination-port eq telnetrule 12 permit tcp source 0.0.0.0 192.168.21.250 destination 0.0.0.0 192.168.11.12 destination-port eq 3389rule 100 deny tcp destination-port eq 3389 #关闭远程协助端口#rule 105 deny tcp destination-port eq telnet #关闭Telnet端口##ip pool 1 #设置IP地址池#gateway-list 192.168.11.254 #设置网关#network 192.168.11.0 mask 255.255.255.0 #子网掩码及IP区段#excluded-ip-address 192.168.11.1 192.168.11.60 #DHCP分配时豁免的IP地址#lease day 10 hour 0 minute 0 #IP地址有效时间# dns-list 192.168.11.2 192.168.11.5 #DNS配置##ip pool 2gateway-list 192.168.21.254network 192.168.21.0 mask 255.255.255.0excluded-ip-address 192.168.21.1 192.168.21.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 3gateway-list 192.168.31.254network 192.168.31.0 mask 255.255.255.0excluded-ip-address 192.168.31.1 192.168.31.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 4gateway-list 192.168.41.254network 192.168.41.0 mask 255.255.255.0excluded-ip-address 192.168.41.1 192.168.41.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 5gateway-list 192.168.51.254network 192.168.51.0 mask 255.255.255.0excluded-ip-address 192.168.51.1 192.168.51.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 6gateway-list 192.168.61.254network 192.168.61.0 mask 255.255.255.0 excluded-ip-address 192.168.61.1 192.168.61.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 7gateway-list 192.168.71.254network 192.168.71.0 mask 255.255.255.0 excluded-ip-address 192.168.71.1 192.168.71.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 8gateway-list 192.168.81.254network 192.168.81.0 mask 255.255.255.0 excluded-ip-address 192.168.81.1 192.168.81.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 9gateway-list 192.168.91.254network 192.168.91.0 mask 255.255.255.0 excluded-ip-address 192.168.91.1 192.168.91.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 10gateway-list 192.168.101.254network 192.168.101.0 mask 255.255.255.0excluded-ip-address 192.168.101.1 192.168.101.60lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 11gateway-list 192.168.111.254network 192.168.111.0 mask 255.255.255.0excluded-ip-address 192.168.111.1 192.168.111.60lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$O9hP7mbdf4Q#E\vU4j#wX3ypg%$%$@!@$ local-user admin service-type http#interface Vlanif1ip address 192.168.66.254 255.255.255.0#interface Vlanif10 #实现Vlan间互访#ip address 192.168.11.254 255.255.255.0dhcp select global#interface Vlanif20ip address 192.168.21.254 255.255.255.0 dhcp select global#interface Vlanif30ip address 192.168.31.254 255.255.255.0 dhcp select global#interface Vlanif40ip address 192.168.41.254 255.255.255.0 dhcp select global#interface Vlanif50ip address 192.168.51.254 255.255.255.0 dhcp select global#interface Vlanif60ip address 192.168.61.254 255.255.255.0 dhcp select global#interface Vlanif70ip address 192.168.71.254 255.255.255.0 dhcp select global#interface Vlanif80ip address 192.168.81.254 255.255.255.0 dhcp select global#interface Vlanif90ip address 192.168.91.254 255.255.255.0dhcp select global#interface Vlanif99ip address 10.0.0.2 255.255.255.0#interface Vlanif100ip address 192.168.101.254 255.255.255.0dhcp select global#interface Vlanif110ip address 192.168.111.254 255.255.255.0dhcp select global#interface MEth0/0/1ip address 192.168.88.1 255.255.255.0#interface Eth-Trunk1 #链路聚合设置#port link-type trunk #链路聚合后的模式#port trunk allow-pass vlan 2 to 4094 #允许通过的Vlan标签# mode lacp-static #链路聚合模式#max active-linknumber 2 #最大在线端口##interface GigabitEthernet0/0/1 #各端口配置#port link-type accessport default vlan 10loopback-detect enable #环路检测##interface GigabitEthernet0/0/2port link-type accessport default vlan 10 loopback-detect enable#interface GigabitEthernet0/0/3 port link-type accessport default vlan 10 loopback-detect enable#interface GigabitEthernet0/0/4 port link-type accessport default vlan 10 loopback-detect enable#interface GigabitEthernet0/0/5 port link-type accessport default vlan 110#interface GigabitEthernet0/0/6 port link-type accessport default vlan 110 loopback-detect enable#interface GigabitEthernet0/0/7 port link-type accessport default vlan 100 loopback-detect enable#interface GigabitEthernet0/0/8 port link-type accessport default vlan 100loopback-detect enable#interface GigabitEthernet0/0/9 port link-type accessport default vlan 90 loopback-detect enable#interface GigabitEthernet0/0/10 port link-type accessport default vlan 90 loopback-detect enable#interface GigabitEthernet0/0/11 port link-type accessport default vlan 60 loopback-detect enable#interface GigabitEthernet0/0/12 port link-type accessport default vlan 60 loopback-detect enable#interface GigabitEthernet0/0/13 port link-type accessport default vlan 70 loopback-detect enable#interface GigabitEthernet0/0/14 loopback-detect enable#interface GigabitEthernet0/0/15loopback-detect enable#interface GigabitEthernet0/0/16loopback-detect enable#interface GigabitEthernet0/0/17 #链路聚合端口配置1# eth-trunk 1lacp priority 100 #高优先级##interface GigabitEthernet0/0/18 #链路聚合端口配置2# eth-trunk 1lacp priority 100#interface GigabitEthernet0/0/19 #链路聚合端口配置3# eth-trunk 1 #备用链路，2用1备##interface GigabitEthernet0/0/20loopback-detect enable#interface GigabitEthernet0/0/21port link-type trunkport trunk allow-pass vlan 10 20 30 40 50 60 70 80 90 100 port trunk allow-pass vlan 110loopback-detect enable#interface GigabitEthernet0/0/22port link-type trunkport trunk allow-pass vlan 10 20 30 40 50 60 70 80 90 100 port trunk allow-pass vlan 110loopback-detect enable#interface GigabitEthernet0/0/23 #连接防火墙配置#port link-type accessport default vlan 99loopback-detect enable#interface GigabitEthernet0/0/24port link-type accessport default vlan 99loopback-detect enable#interface NULL0#arp static 192.168.81.13 7427-ea35-eedf#ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 #静态路由#ip route-static 192.168.10.0 255.255.255.0 192.168.71.1ip route-static 192.168.12.0 255.255.255.0 192.168.71.2ip route-static 192.168.118.0 255.255.255.0 192.168.111.1#traffic-filter inbound acl 3001 #全局启用ACL管控##snmp-agent #利用Cacti监控192.168.11.151，配置SNMP# snmp-agent local-engineid 800007DB037054F5DFC580snmp-agent community read cipher %$%$@(=VHL9T2A-VkMN9{/I'MJ\SJ%$%$snmp-agent sys-info version allsnmp-agent group v3 publicsnmp-agent target-host trap address udp-domain192.168.11.151 params securityname public#user-interface con 0 #console口密码#authentication-mode passwordset authentication password cipher %$%$Q]]8BRT8^WMuCf9~]%QX~@7.\~)c#$!;K>.194{Fa qXM&$F=8%$%$@#user-interface vty 0 4 #Telnet密码#authentication-mode passworduser privilege level 3set authentication password cipher %$%$%'cJU]0{$8$:m91'RKYxGYsja6iDE%48L>!hl'$Av[8vK 6ypk%$%$@#$#user-interface vty 16 20#相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。