ACL | VACL

1、acl与vacl主要用于流量的匹配,acl可以匹配三层的流量,vacl可以匹配三层与二层的流量。

2、acl分为标准的acl和扩展的acl。标准的acl只能按照源ip地址来匹配数据包,而扩展的acl可以根据源码IP地址、协议、端口号等来匹配数据包。在Cisco中1-99为标准acl,100-199为扩展按acl。

3、在Cisco中的acl最后默认是将所有的流量deny掉,而在华为设备上acl最后是默认将所有的流量permit。(两个正好相反)。

4、acl应用在物理接口上时,in方向为数据包进入接口方向,out方向为数据包从接口出去的方向。但是当acl应用在vlan接口上的时候,in方向为数据包从犯接口出去的方向,out方向是数据包进入接口的方向。也就是acl应用在物理接口与vlan接口的方向正好相反。

5、acl应用于接口时是将流量放行或者过滤(permit或者deny),但是当acl应用于其他的地方时一般是匹配流量或者排除流量(permit或者deny)。

6、acl匹配规则为自上而下匹配,当匹配到一条规则后就不再继续向下匹配。

7、vacl应用于vlan接口上,并且可以匹配三层与二层的流量。vacl的的调用没有方向性,也就是在写vacl的时候就需要将出和入的两个方向都要写。

案例:

①mac access-list extended mac-acl   //定义一个基于mac的策略
  permit any any 0x0800 0x0 //匹配任意源mac地址访问任意目的mac地址的ip数据包
  permit host 0001.0001.0001 host 0002.0002.0002  //匹配响应源mac访问目的mac的数据。

②vlan access-map aaa 10 //编写一个vacl 起个名aaa,相当于一个大家庭,10是id,相当于家庭的某一个成员,意味着这个aaa下面可以调用多个AcL,用后面的id区分即可) match ip address 101//调用三层ACL——101 match mac address mac-acl//调用mac-acl二层acL action forward//执行的动作是放行 exit

  vlan access-map aaa 9999
    action drop //其他的丢弃,其他未匹配到的流量默认是drop。
    exit

// 也就是在vacl  aaa中有两条规则。
③vlan filter aaa vlan-list 100 //在vlan 100里面应用刚刚编写的vacl。

 

posted @ 2022-08-31 19:25  Ant_blog  阅读(371)  评论(0编辑  收藏  举报