Cisco组网之VACL

     最近在网上看到一些限制各VLAN间的流量的配置命令,所以也想着自己在公司内试试.

    大家都知道用单臂路由或是三层交换将一个局域网划分成若干个子网.而且可以让他们互相通信.但出于安全考虑,又不想让所有VLAN的人都能互相访问.这里我们就可以用两种办法,一个是用每VLAN上(或路由器上的每个子接口)应用一个ACL,此方法在这就不在多说了,会用ACL的人都会.二是在交换机上用VLAN映射(cisco2851 路由器上没有VACL)

    下面说一下第二种方法我在我公司的具体操作:

    首先创建一个ACL

    cisco3560(config)#ip acce ex PS_ACL
    cisco3560(config-ext-nacl)#permit ip 10.10.80.0 0.0.0.255 10.10.10.0 0.0.0.255
    cisco3560(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 10.10.80.0 0.0.0.255
    cisco3560(config-ext-nacl)#exit

     此处因为VACL对数据流没有inbound和outbound之分，所以要把允许通过某vlan的IP数据流都permit。VLAN80允许与VLAN10通讯，而数据流又是双向的，所以要在ACL中增加VLAN10的网段

   然后在创建一个VLAN映射

    cisco3560(config)#vlan access-map PeiSong  \\创建一个名为PeiSong的VLAN映射
    cisco3560(config-access-map)#match ip add PS_ACL    \\调用符合PS_ACL的条件
    cisco3560(config-access-map)#action forward                 \\转发

    cisco3560(config)#vlan filter PeiSong vlan-list 80  \\将上步创建的VLAN映射到vlan 80

C:\Users\Administrator>ping 10.10.80.254

正在 Ping 10.10.80.254 具有 32 字节的数据:
来自 10.10.80.254 的回复: 字节=32 时间<1ms TTL=255
来自 10.10.80.254 的回复: 字节=32 时间<1ms TTL=255
来自 10.10.80.254 的回复: 字节=32 时间<1ms TTL=255
来自 10.10.80.254 的回复: 字节=32 时间<1ms TTL=255

10.10.80.254 的 Ping 统计信息:
    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，
往返行程的估计时间(以毫秒为单位):
    最短 = 0ms，最长 = 0ms，平均 = 0ms

C:\Users\Administrator>ping 10.10.80.9

正在 Ping 10.10.80.9 具有 32 字节的数据:
请求超时。

10.10.80.9 的 Ping 统计信息:
    数据包: 已发送 = 1，已接收 = 0，丢失 = 1 (100% 丢失)，
Control-C
^C
C:\Users\Administrator>ping 10.10.80.10

正在 Ping 10.10.80.10 具有 32 字节的数据:
请求超时。

10.10.80.10 的 Ping 统计信息:
    数据包: 已发送 = 1，已接收 = 0，丢失 = 1 (100% 丢失)，
Control-C
^C
C:\Users\Administrator>

 

本机的IP是vlan20的,上述PS_ACL内没有加入vlan20的流量,所以ping得80段网关,ping不通80内的机器.

这里要说明的几点是.vlan filter 可以映射到多个VLAN中,所以如果想让多个VLAN互相不能访问,则只需要在ACL中继续增加网段到网段的互访,然后在vlan filter到相关网段,无需在创建VACL,此处80和90段也不可以互相访问.

例如下:

 ip access-list extended PS_ACL
 permit ip 10.10.80.0 0.0.0.255 10.10.10.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 10.10.80.0 0.0.0.255
 permit ip 10.10.90.0 0.0.0.255 10.10.10.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 10.10.90.0 0.0.0.255

vlan access-map PeiSong 10
 action forward
 match ip address PS_ACL
vlan filter PeiSong vlan-list 80,90

另外,这里的VACL只针对于内网的访问,以上步骤都没有加入访问外网,如果要加入访问外网,以上的就不成立了.因为外网的地址是any 又要双向,vlan映射就没有意义了.