cisco vlan隔离.docx

Cisco VLAN之间ACL和VACL的区别我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入 VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。VACL很少用到，在配置时要注意以下几点：1) 最后一条隐藏规则是deny ip any any，与ACL相同。2) VACL没有inbound和outbound之分，区别于ACL。3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。4) VACL规则应用在NAT之前。5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。6) VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。下面，我以Cisco3550交换机作为实例来详细描述一下两者之间不同的实现方式。网络拓扑图网络基本情况是划分了三个vlan：vlan10、vlan20和vlan30瑅lan虚端口的IP地址分别为 192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。访问控制要求：vlan10和vlan20之间不能访问，但都能访问vlan30。（一） 通过VLAN之间ACL方式实现* 配置VLAN *Switch(config)# vlan 10 / 创建vlan 10Switch(config-vlan)# vlan 20Switch(config-vlan)# vlan 30Switch(config-vlan)# int vlan 10Switch(config-if)# ip address 192.168.10.1 255.255.255.0 / 配置vlan10虚端口IPSwitch(config-if)# int vlan 20Switch(config-if)# ip address 192.168.20.1 255.255.255.0Switch(config-if)# int vlan 30Switch(config-if)# ip address 192.168.30.1 255.255.255.0* 配置ACL *Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255* 应用ACL至VLAN端口 *Switch(config)# int vlan 10Switch(config-if)# ip access-group 101 in Switch(config)# int vlan 20Switch(config-if)# ip access-group 102 in* 完毕 *（二） 通过VACL方式实现* 配置VLAN *（同上）* 配置ACL *Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255（不同之处：因为VACL对数据流没有inbound和outbound之分，所以要把允许通过某vlan的IP数据流都permit才行。VLAN10 允许与VLAN30通讯，而数据流又是双向的，所以要在ACL中增加VLAN30的网段）Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255* 配置VACL *第一步：配置vlan access mapSwitch(config)# vlan access-map test1 /定义一个vlan access map，取名为test1Switch(config-vlan-access)# match ip address 101 / 设置匹配规则为acl 101Switch(config-vlan-access)# action forward / 匹配后，设置数据流转发（forward）,否则,不匹配的denySwitch(config)# vlan access-map test2 /定义一个vlan access map，取名为test2Switch(config-vlan-access)# match ip address 102 / 设置匹配规则为acl 102Switch(config-vlan-access)# action forward / 匹配后，设置数据流转发（forward）,否则,不匹配的deny第二步：应用VACLSwitch(config)# vlan filter test1 vlan-list 10 /将上面配置的test1应用到vlan10中Switch(config)# vlan filter test2 vlan-list 20 /将上面配置的test1应用到vlan20中* 完毕 *以上就是关于VLAN之间ACL和VACL的简单配置实例。我个人认为一般情况下，通过VLAN之间ACL实现访问控制比较方便，但是当VLAN的端口比较分散时，采用VACL相对而言就要简单很多。不过使用VACL的前提是交换机支持此功能，目前可能只有Cisco 3550、4500和6500系列的交换机支持。vlan access-map使用vlan access-map的全局配置命令去创建一个VLAN MAP ，当你使用match 命令来指定需要匹配的IP或非IP的流量，并使用action的命令去设置匹配后数据包的处理是转发还是丢弃。(vlan map是用在vlan内部的，所以它不能具体指定是应用在哪个方向的，它是应用在vlan接口上的而不是普通的接口上。它可以和router acl结合使用)同普通的访问控制列表不同,VACL是用在VLAN内对数据进行过滤的,而前者是用在第三层接口对出入的数据包进行过滤,例如:在同一个VLAN内部,我们可能不允许其他主机对另一台主机进行访问,此时我们可以使用VLAN来实现,其配置方法如下:vlan access-map name number number 这个可选项是map的序列号（0到65535）。默认为10，并且以10递增。在全局配置模式下，使用使用vlan filter命令去应用这个MAP到一个或多个VLAN上。例如，要求VLAN 1 (192.168.1.0/24)和 VLAN 2(192.168.2.0/24) 都可以同外网通讯，但是相互之间不可以相互访问:ip access-list V1 permit ip any 192.168.2.0 0.0.0.255 /匹配访问VLAN 2的流量。ip access-list V2 permit ip any 192.168.1.0 0.0.0.255 /匹配访问VLAN 1的流量。以下定义access-map阻止顺序，先由10开始，过滤掉xxx信息，再到20vlan access-map D1to2 10match ip address V1 /匹配访问VLAN 2的流量action drop /凡是访问VLAN 2的流量都丢弃exitvlan filter D1to2 vlan-list 1 /将VLAN MAP 应用到VLAN 1vlan access-map D2to1 10match ip address V2 /匹配访问VLAN 1的流量 action drop /凡是访问VLAN 1的流量都丢弃 exitvlan filter D2to1 vlan-list 2 /将VLAN MAP 应用到VLAN 2二IOS系统下的VACL1编写ACL（1）表准访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的数据包采取“拒绝”或“允许”两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。语法如下：router(config)#access-list list numberpermit | deny | remarkhost/anysource a ddresswildcard-masklog（2）扩展访问列表扩展访问列表主要增加报文过滤能力，一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及在特定报文字段。协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等，协议选项是区别标准的访问列表的特征之一。扩展的列表标号从100199，20002699。（3）基于名称的访问列表基于名称的访问列表遵守和数字的IP访问控制列表一样的逻辑，名字可以更加容易的记住访问控制列表的功能，命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。语法如下：router(config)#ip access-list standard | extended name这表示要进入的name所指定的列表配置模式，所有的permit和deny操作都是进入到这个模式下进行配置的。2创建映射 VACL主要区别于上述ACL操作的方法，就是将已经创建好的ACL映射到一个VLAN上。创建映射分为3步，命令与法和解释如下：命令一：(global) vlan access-map name numbervlan access-map后面的名字定义的时候最好有针对性或者提示性，而后续的设置的子句都使用number选项。如果在这里进行了分组的设置，每一个子句都要经过匹配检测，直到没有发现匹配语句才丢弃分组。命令二：(vlan-map) match ip address aclname | aclnumber执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是你在前面配置ACL的名称或编号，而ACL定义的permit语句在这里表示匹配的意思，deny表示不匹配。命令三：(vlan-map) action drop | forward交换机根据匹配ACL确定的匹配，action命令后面的参数才是代表流量是允许（forward）还是丢弃（drop）。3应用与检查完成之前的配置后，需要用vlan filter命令把访问列表应用到交换机。格式如下：(global) vlan filter mapna