ACL | VACL

1、acl与vacl主要用于流量的匹配，acl可以匹配三层的流量，vacl可以匹配三层与二层的流量。

2、acl分为标准的acl和扩展的acl。标准的acl只能按照源ip地址来匹配数据包，而扩展的acl可以根据源码IP地址、协议、端口号等来匹配数据包。在Cisco中1-99为标准acl，100-199为扩展按acl。

3、在Cisco中的acl最后默认是将所有的流量deny掉，而在华为设备上acl最后是默认将所有的流量permit。（两个正好相反）。

4、acl应用在物理接口上时，in方向为数据包进入接口方向，out方向为数据包从接口出去的方向。但是当acl应用在vlan接口上的时候，in方向为数据包从犯接口出去的方向，out方向是数据包进入接口的方向。也就是acl应用在物理接口与vlan接口的方向正好相反。

5、acl应用于接口时是将流量放行或者过滤（permit或者deny），但是当acl应用于其他的地方时一般是匹配流量或者排除流量（permit或者deny）。

6、acl匹配规则为自上而下匹配，当匹配到一条规则后就不再继续向下匹配。

7、vacl应用于vlan接口上，并且可以匹配三层与二层的流量。vacl的的调用没有方向性，也就是在写vacl的时候就需要将出和入的两个方向都要写。

案例：

①mac access-list extended mac-acl   //定义一个基于mac的策略
  permit any any 0x0800 0x0 //匹配任意源mac地址访问任意目的mac地址的ip数据包
  permit host 0001.0001.0001 host 0002.0002.0002  //匹配响应源mac访问目的mac的数据。


②vlan access-map aaa 10 //编写一个vacl  起个名aaa，相当于一个大家庭，10是id，相当于家庭的某一个成员，意味着这个aaa下面可以调用多个AcL，用后面的id区分即可）
  match ip address 101//调用三层ACL——101
  match mac address mac-acl//调用mac-acl二层acL
  action forward//执行的动作是放行
  exit

  vlan access-map aaa 9999
    action drop //其他的丢弃,其他未匹配到的流量默认是drop。
    exit

// 也就是在vacl  aaa中有两条规则。
③vlan filter aaa vlan-list 100 //在vlan 100里面应用刚刚编写的vacl。