ACL | VACL
1、acl与vacl主要用于流量的匹配,acl可以匹配三层的流量,vacl可以匹配三层与二层的流量。
2、acl分为标准的acl和扩展的acl。标准的acl只能按照源ip地址来匹配数据包,而扩展的acl可以根据源码IP地址、协议、端口号等来匹配数据包。在Cisco中1-99为标准acl,100-199为扩展按acl。
3、在Cisco中的acl最后默认是将所有的流量deny掉,而在华为设备上acl最后是默认将所有的流量permit。(两个正好相反)。
4、acl应用在物理接口上时,in方向为数据包进入接口方向,out方向为数据包从接口出去的方向。但是当acl应用在vlan接口上的时候,in方向为数据包从犯接口出去的方向,out方向是数据包进入接口的方向。也就是acl应用在物理接口与vlan接口的方向正好相反。
5、acl应用于接口时是将流量放行或者过滤(permit或者deny),但是当acl应用于其他的地方时一般是匹配流量或者排除流量(permit或者deny)。
6、acl匹配规则为自上而下匹配,当匹配到一条规则后就不再继续向下匹配。
7、vacl应用于vlan接口上,并且可以匹配三层与二层的流量。vacl的的调用没有方向性,也就是在写vacl的时候就需要将出和入的两个方向都要写。
案例:
①mac access-list extended mac-acl //定义一个基于mac的策略 permit any any 0x0800 0x0 //匹配任意源mac地址访问任意目的mac地址的ip数据包 permit host 0001.0001.0001 host 0002.0002.0002 //匹配响应源mac访问目的mac的数据。
②vlan access-map aaa 10 //编写一个vacl 起个名aaa,相当于一个大家庭,10是id,相当于家庭的某一个成员,意味着这个aaa下面可以调用多个AcL,用后面的id区分即可) match ip address 101//调用三层ACL——101 match mac address mac-acl//调用mac-acl二层acL action forward//执行的动作是放行 exit
vlan access-map aaa 9999
action drop //其他的丢弃,其他未匹配到的流量默认是drop。
exit
// 也就是在vacl aaa中有两条规则。
③vlan filter aaa vlan-list 100 //在vlan 100里面应用刚刚编写的vacl。