实战：VLAN之间ACL和VACL的区别

锐捷ACL应用技术白皮书摘要ACL，是访问控制列表(Access Control Lists)的简称。

在实际的网络环境中，各种上层访问都是通过报文交互进行的，为了进行访问控制，就通过ACL设置一系列过滤规则来控制报文转发和过滤，从而达到目的，所以称之为访问控制列表。

本文阐析了ACL功能的工作机制。

并在此基础上，说明我司交换机在ACL功能上的特点，优越性及其应用。

关键词ACL ACE目录摘要 (1)关键词 (1)1 缩略语 (2)2 概述 (2)2.1 ACL技术产生的背景 (2)2.2 我司交换机产品对ACL功能的支持情况 (3)3 技术介绍 (4)3.1 ACL工作原理 (4)3.1.1 ACL分类 (4)3.1.2 安全ACL种类 (4)3.1.3 Access Control Entry (4)3.1.4 安全ACL过滤报文原理 (6)3.1.5 基于接口和基于VLAN的ACL (8)4 锐捷ACL技术特点 (11)4.1 配置灵活方便 (11)4.2 功能完备 (11)4.3 过滤性能好 (11)4.4 各款产品ACL功能限制 (12)4.4.1 各类型ACL共有限制 (12)4.4.2 各款产品支持情况差异性说明 (12)4.4.3 机箱式设备的线卡类型汇总 (14)4.5 各款产品ACL在各种应用情况下的限制和容量值 (15)4.5.1 IP标准ACL的限制和容量值 (15)4.5.2 IP扩展ACL的限制和容量值 (15)4.5.3 MAC扩展ACL的限制和容量值 (16)4.5.4 专家级ACL的限制和容量值 (17)4.5.5 IPv6 ACL的限制和容量值 (17)4.6 使用我司ACL功能注意事项 (18)4.7 应用与案例分析 (19)4.7.1 核心层交换机S86关键配置 (20)4.7.2 汇聚层交换机S57关键配置 (22)4.7.3 接入层交换机S26关键配置 (24)5 结束语 (26)1 缩略语ACL：Access Control List，访问控制列表ACE：Access Control Entry，ACL的组成元素VACL：基于VLAN的ACLPort ACL：基于二层接口的ACLAP：Aggregate PortL2 AP：二层AP接口L3 AP：三层AP接口SVI：Switch Vlan Interface，交换机虚拟VLAN接口Routed Port：路由口2 概述2.1 ACL技术产生的背景在实际网络环境中，各种上层访问，最常见的就是访问某个网站，归根结底是通过PC和服务器之间的报文交互进行的，而报文则是通过交换机，路由器等各种网络设备进行传输的。

最近经常碰到有人问起Cisco交换机上如何实现VLAN之间的访问控制，一般我都会告诉对方，在三层交换机上直接把ACL应用到相应VLAN的虚端口就OK了，其实我自己也没有机会去真正实践过。

眼下正巧有个项目涉及到这方面的需求，于是对如何实现VLAN之间的访问控制仔细研究了一番，这才发现VLAN访问控制列表（VACL）和VLAN之间的访问控制列表其实在实现方式上是有很大不同的，虽然从字面上看两者差不多。

我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。

而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。

它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。

目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

VACL很少用到，在配置时要注意以下几点：1) 最后一条隐藏规则是deny ip any any，与ACL相同。

2) VACL没有inbound和outbound之分，区别于ACL。

3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。

4) VACL规则应用在NAT之前。

5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

6) VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

下面，我以Cisco3550交换机作为实例来详细描述一下两者之间不同的实现方式。

网络拓扑图网络基本情况是划分了三个vlan：vlan10、vlan20和vlan30，vlan虚端口的IP地址分别为192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。

访问控制要求：vlan10和vlan20之间不能访问，但都能访问vlan30。

核心交换机各项配置 Vlan划分、互访、ACL管控、链路聚合教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

这篇文章主要为大家介绍了核心交换机配置的方法，比如给核心交换机配置Vlan划分、互访、ACL管控、链路聚合等，需要的朋友可以参考下。

概念介绍访问控制列表(Access Control List，ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

链路聚合是将两个或更多数据信道结合成一个单个的信道，该信道以一个单个的更高带宽的逻辑链路出现。

链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。

具体配置#!Software Version V200R001C00SPC300sysname IT_ServerRoom #交换机名称##vlan batch 10 20 30 40 50 60 70 80 90 99 to 100 #设置Vlan# vlan batch 110#lacp priority 100 #链路聚合优先级设定##undo http server enable#undo nap slave enable#dhcp enable #打开DHCP功能##acl number 3001 #配置ACL访控#rule 4 permit tcp source 0.0.0.0 192.168.21.11 destination-port eq 3389 #允许指定IP使用远程协助#rule 5 permit tcp source 0.0.0.0 192.168.21.13 destination-port eq 3389rule 6 permit tcp source 0.0.0.1 192.168.11.254 destination-port eq 3389rule 7 permit tcp source 0.0.0.0 192.168.51.13 destination 0.0.0.0 192.168.11.10 destination-port eq 3389rule 8 permit tcp source 0.0.0.0 192.168.81.31 destination 0.0.0.0 192.168.11.10 destination-port eq 3389rule 9 permit tcp source 0.0.0.0 192.168.21.14 destination 0.0.0.0 192.168.11.12 destination-port eq 3389rule 10 permit tcp source 0.0.0.3 192.168.21.12 destination-port eq telnetrule 11 permit tcp source 0.0.0.1 192.168.11.254 destination-port eq telnetrule 12 permit tcp source 0.0.0.0 192.168.21.250 destination 0.0.0.0 192.168.11.12 destination-port eq 3389rule 100 deny tcp destination-port eq 3389 #关闭远程协助端口#rule 105 deny tcp destination-port eq telnet #关闭Telnet端口##ip pool 1 #设置IP地址池#gateway-list 192.168.11.254 #设置网关#network 192.168.11.0 mask 255.255.255.0 #子网掩码及IP区段#excluded-ip-address 192.168.11.1 192.168.11.60 #DHCP分配时豁免的IP地址#lease day 10 hour 0 minute 0 #IP地址有效时间# dns-list 192.168.11.2 192.168.11.5 #DNS配置##ip pool 2gateway-list 192.168.21.254network 192.168.21.0 mask 255.255.255.0excluded-ip-address 192.168.21.1 192.168.21.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 3gateway-list 192.168.31.254network 192.168.31.0 mask 255.255.255.0excluded-ip-address 192.168.31.1 192.168.31.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 4gateway-list 192.168.41.254network 192.168.41.0 mask 255.255.255.0excluded-ip-address 192.168.41.1 192.168.41.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 5gateway-list 192.168.51.254network 192.168.51.0 mask 255.255.255.0excluded-ip-address 192.168.51.1 192.168.51.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 6gateway-list 192.168.61.254network 192.168.61.0 mask 255.255.255.0 excluded-ip-address 192.168.61.1 192.168.61.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 7gateway-list 192.168.71.254network 192.168.71.0 mask 255.255.255.0 excluded-ip-address 192.168.71.1 192.168.71.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 8gateway-list 192.168.81.254network 192.168.81.0 mask 255.255.255.0 excluded-ip-address 192.168.81.1 192.168.81.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 9gateway-list 192.168.91.254network 192.168.91.0 mask 255.255.255.0 excluded-ip-address 192.168.91.1 192.168.91.60 lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 10gateway-list 192.168.101.254network 192.168.101.0 mask 255.255.255.0excluded-ip-address 192.168.101.1 192.168.101.60lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#ip pool 11gateway-list 192.168.111.254network 192.168.111.0 mask 255.255.255.0excluded-ip-address 192.168.111.1 192.168.111.60lease day 10 hour 0 minute 0dns-list 192.168.11.2 192.168.11.5#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$O9hP7mbdf4Q#E\vU4j#wX3ypg%$%$@!@$ local-user admin service-type http#interface Vlanif1ip address 192.168.66.254 255.255.255.0#interface Vlanif10 #实现Vlan间互访#ip address 192.168.11.254 255.255.255.0dhcp select global#interface Vlanif20ip address 192.168.21.254 255.255.255.0 dhcp select global#interface Vlanif30ip address 192.168.31.254 255.255.255.0 dhcp select global#interface Vlanif40ip address 192.168.41.254 255.255.255.0 dhcp select global#interface Vlanif50ip address 192.168.51.254 255.255.255.0 dhcp select global#interface Vlanif60ip address 192.168.61.254 255.255.255.0 dhcp select global#interface Vlanif70ip address 192.168.71.254 255.255.255.0 dhcp select global#interface Vlanif80ip address 192.168.81.254 255.255.255.0 dhcp select global#interface Vlanif90ip address 192.168.91.254 255.255.255.0dhcp select global#interface Vlanif99ip address 10.0.0.2 255.255.255.0#interface Vlanif100ip address 192.168.101.254 255.255.255.0dhcp select global#interface Vlanif110ip address 192.168.111.254 255.255.255.0dhcp select global#interface MEth0/0/1ip address 192.168.88.1 255.255.255.0#interface Eth-Trunk1 #链路聚合设置#port link-type trunk #链路聚合后的模式#port trunk allow-pass vlan 2 to 4094 #允许通过的Vlan标签# mode lacp-static #链路聚合模式#max active-linknumber 2 #最大在线端口##interface GigabitEthernet0/0/1 #各端口配置#port link-type accessport default vlan 10loopback-detect enable #环路检测##interface GigabitEthernet0/0/2port link-type accessport default vlan 10 loopback-detect enable#interface GigabitEthernet0/0/3 port link-type accessport default vlan 10 loopback-detect enable#interface GigabitEthernet0/0/4 port link-type accessport default vlan 10 loopback-detect enable#interface GigabitEthernet0/0/5 port link-type accessport default vlan 110#interface GigabitEthernet0/0/6 port link-type accessport default vlan 110 loopback-detect enable#interface GigabitEthernet0/0/7 port link-type accessport default vlan 100 loopback-detect enable#interface GigabitEthernet0/0/8 port link-type accessport default vlan 100loopback-detect enable#interface GigabitEthernet0/0/9 port link-type accessport default vlan 90 loopback-detect enable#interface GigabitEthernet0/0/10 port link-type accessport default vlan 90 loopback-detect enable#interface GigabitEthernet0/0/11 port link-type accessport default vlan 60 loopback-detect enable#interface GigabitEthernet0/0/12 port link-type accessport default vlan 60 loopback-detect enable#interface GigabitEthernet0/0/13 port link-type accessport default vlan 70 loopback-detect enable#interface GigabitEthernet0/0/14 loopback-detect enable#interface GigabitEthernet0/0/15loopback-detect enable#interface GigabitEthernet0/0/16loopback-detect enable#interface GigabitEthernet0/0/17 #链路聚合端口配置1# eth-trunk 1lacp priority 100 #高优先级##interface GigabitEthernet0/0/18 #链路聚合端口配置2# eth-trunk 1lacp priority 100#interface GigabitEthernet0/0/19 #链路聚合端口配置3# eth-trunk 1 #备用链路，2用1备##interface GigabitEthernet0/0/20loopback-detect enable#interface GigabitEthernet0/0/21port link-type trunkport trunk allow-pass vlan 10 20 30 40 50 60 70 80 90 100 port trunk allow-pass vlan 110loopback-detect enable#interface GigabitEthernet0/0/22port link-type trunkport trunk allow-pass vlan 10 20 30 40 50 60 70 80 90 100 port trunk allow-pass vlan 110loopback-detect enable#interface GigabitEthernet0/0/23 #连接防火墙配置#port link-type accessport default vlan 99loopback-detect enable#interface GigabitEthernet0/0/24port link-type accessport default vlan 99loopback-detect enable#interface NULL0#arp static 192.168.81.13 7427-ea35-eedf#ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 #静态路由#ip route-static 192.168.10.0 255.255.255.0 192.168.71.1ip route-static 192.168.12.0 255.255.255.0 192.168.71.2ip route-static 192.168.118.0 255.255.255.0 192.168.111.1#traffic-filter inbound acl 3001 #全局启用ACL管控##snmp-agent #利用Cacti监控192.168.11.151，配置SNMP# snmp-agent local-engineid 800007DB037054F5DFC580snmp-agent community read cipher %$%$@(=VHL9T2A-VkMN9{/I'MJ\SJ%$%$snmp-agent sys-info version allsnmp-agent group v3 publicsnmp-agent target-host trap address udp-domain192.168.11.151 params securityname public#user-interface con 0 #console口密码#authentication-mode passwordset authentication password cipher %$%$Q]]8BRT8^WMuCf9~]%QX~@7.\~)c#$!;K>.194{Fa qXM&$F=8%$%$@#user-interface vty 0 4 #Telnet密码#authentication-mode passworduser privilege level 3set authentication password cipher %$%$%'cJU]0{$8$:m91'RKYxGYsja6iDE%48L>!hl'$Av[8vK 6ypk%$%$@#$#user-interface vty 16 20#相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

作者简介：张少芳（1982— ），男，河北宁晋人，副教授，硕士；研究方向：网络安全与管理，网络集成技术。

基于VACL的VLAN内部访问控制的实现石家庄邮电职业技术学院 张少芳，王月春，刘延锋摘 要：网络中，通常需要对处于同一逻辑网段中的通信流量进行访问控制，VACL 技术应用在2层VLAN 上，通过对VLAN 内部的流量进行匹配，实现了逻辑网段内部的安全访问控制策略，为网络提供了更细颗粒度的安全防护。

关键词：网络；访问控制列表；VLAN ；安全；通信1 VACL背景介绍访问控制列表（Access Control List ，ACL ）作为一种典型的网络安全技术，一般应用于网络的边界，对3层及以上的流量进行识别和过滤，这种ACL 被称为路由访问控制列表（Router ACL ，RACL ）。

RACL 满足了不同逻辑网段之间进行访问控制的需求，但在很多情况下，网络需要对处于同一虚拟局域网（Virtual Local Area Network ，VLAN ）内主机之间的通信进行更细颗粒度的控制，RACL 显然无法实现这样的功能，此时就需要用到VLAN 访问控制列表（VLAN ACL ，V ACL ）技术。

2 VACL的实现原理VACL 可以对3层交换机上处于同一个VLAN 内的访问流量进行控制。

例如，限制某VLAN 内部主机之间的互相访问、防止主机遭受来自本网段内部的恶意攻击等，也可以对其它逻辑网段访问本网段的流量进行限制。

对于交换机上的VLAN 而言，在拥有路由且没有配置任何ACL 的情况下，流量默认是被允许通过的。

但是一旦在VLAN 上配置了VACL 或RACL ，那么对于进入VLAN 的流量就需要与VACL 或RACL 进行匹配并进行相应的处理。

与RACL 配置相同，VACL 也是按照规则的顺序进行匹配，而且每个VACL 最后都会自动隐含一条全部丢弃的条目。

因此，当流量进入配置有VACL 的VLAN 时，交换机将在VACL 中顺序查找是否有匹配的条目。

简述ACL的作用及应用ACL全称为Access Control List（访问控制列表），是一种用于控制网络设备的访问权限的技术。

ACL常常用于路由器、防火墙和其他网络设备上，通过配置ACL可以对网络流量进行过滤和控制，从而实现对网络资源的保护和管理。

ACL的作用主要包括以下几个方面：1. 控制网络访问权限：ACL可以根据预先设置的规则对网络流量进行过滤，从而限制特定的用户或主机对网络资源的访问。

比如可以设置ACL规则禁止某些特定的IP地址访问内部网络，或者限制某些用户只能访问特定的网络服务。

2. 提高网络安全性：通过ACL可以控制网络中的数据流动，从而减少网络攻击和恶意行为带来的风险。

ACL可以在网络边界处对流量进行过滤，防止未经授权的用户或主机进入内部网络，同时也可以限制内部网络用户对外部网络资源的访问，避免泄露敏感信息。

3. 优化网络性能：ACL可以对网络流量进行控制和限制，从而避免网络拥堵和带宽浪费的问题。

通过ACL可以限制某些不必要的流量进入网络，或者优化网络流量的分发，从而提高网络的整体性能和稳定性。

4. 达成合规要求：部分行业（如金融、医疗等）需要严格遵守相关的合规要求，ACL可以帮助网络管理员实施相关的网络访问控制策略，保证网络安全和合规性。

在实际应用中，ACL主要用于网络设备的配置和管理，常见的应用场景包括：1. 防火墙配置：防火墙是网络安全的重要组成部分，ACL可以用于配置防火墙的访问控制策略，限制网络上的数据流动。

例如，可以通过ACL阻止恶意流量的进入，或者限制内部网络用户对外部网络资源的访问。

2. 路由器配置：路由器是网络中的重要设备，ACL可以用于配置路由器的访问控制策略，限制特定的IP地址或网络对路由器的访问权限。

这样可以提高网络的安全性和稳定性，避免未经授权的访问对网络造成影响。

3. 交换机配置：ACL也可以用于配置交换机的访问控制策略，限制网络中不同子网之间的访问权限。

利用VLAN和ACL技术提高电子政务网互联安全摘?要本文通过对网络规划管理方面安全性的VLAN技术以及通过控制数据流量降低受攻击风险所采用的ACL技术分别进行介绍，并结合实际情况，将两种技术在某政府电子政务系统中的应用，从而实现了提高电子政务网互联的安全效果。

电子政务网络多为复杂的办公网络系统，通常因部门或者业务功能的不同划分了非常多的群组，若在网络管理上混乱，则其安全性将受到极大的考验。

除此，电子政务网络中涉及的办公或业务需求，常常要求在信息点间通信和内外网络通信，这也就给内网使用带来了可能受到病毒攻击的隐患。

出于以上两种安全性的考虑，在网络管理上采用了VLAN技术来提高管理动态网络能力和安全功能；而在针对内网安全性，在过滤网络流量方面采用了ACL技术。

两种技术在加强电子政务网互联安全方面起到了相当大的作用。

1 VLAN的介绍以及运用1.1 VLAN技术简介及分析VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”，是把同一物理局域网内根据不同类别逻辑地划分成不同的广播域，从而实现虚拟工作组的数据交换技术。

只有VLAN协议的第三层以上交换机才具有此功能。

VLAN 的出现，有助于有效的控制流量，简化网络管理，减少设备的投资，以此提高网络安全性。

它在以太网帧的基础上增加了VLAN头，用VLAN ID将用户群组划分为更细小的工作组，不同工作组之间的用户互访被限制，每个工作组就构成一个虚拟局域网。

虚拟局域网形成虚拟工作组，能够动态的管理网络，限制广播范围。

且VLAN技术的使用提高了网络整体的安全性，使网路管理简单，直观。

从技术角度讲，VLAN的划分可依据不同原则，目前的VLAN技术主要有以下三种划分方法：基于端口的VLAN划分、基于MAC地址的VLAN划分和基于网络层协议的VLAN划分。

相对于基于MAC地址和基于网络层协议的VLAN划分，基于端口的VLAN技术定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。

VACL详解.txt你站在那不要动！等我飞奔过去！雨停了天晴了女人你慢慢扫屋我为你去扫天下了你是我的听说现在结婚很便宜，民政局9块钱搞定，我请你吧你个笨蛋啊遇到这种事要站在我后面！跟我走总有一天你的名字会出现在我家的户口本上。

VACL详解VACL详解（Cisco中基于COS/基于IOS）有些刚接触ACL（Access Control Lists）的朋友听到VACL可能有些陌生，本文将对VACL 在Cisco COS和IOS版本的交换机上的使用，进行一个比较全面的描述。

VACL（VLAN ACL）和定时访问列表、动态访问列表、自反访问列表一样都属于ACL扩展应用的一部分，它定义了基于三层以上的信息流量，而所对应的参数则用于两层的VLAN。

VACL 多是针对硬件中应用，比传统的路由器访问列表处理速度明显快得多。

目前，Cisco 6000（Policy Feature Card，策略特性卡，如图1）、3750、3650、3550和2950G系列的交换机都支持VACL。

基于COS VACL的配置VACL与普通的ACL相同，列表也是按照顺序进行匹配的。

ACL号相同的所有ACL形成一个组，在判断一个数据帧时，使用同一组中的条目从上到下逐一进行判断，一遇到满足的条目就终止对该数据帧的判断。

基本的配置方法如下：1．配置ACLSet security acl ip {acl_name} {permit |deny |redirect mod/port} {protocol} {sourceaddress mask} [op] [srcport] {dest mask} [op] [destport] [before editbuffer_index |modify editbuffer_index] [log]Set security acl ip命令后面指定IP ACL的名字，后面是协议的说明和采取的措施。

Permit|deny分别对应为：Permit是允许通过，deny是丢弃包。

技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN110.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术,访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS 的ACL进行编写。

确保VLAN的安全访问列表路由访问列表 RACL可以实现不同网段之间的访问控制．VLAN访问列表 V ACL 同一网段VLAN访问列表V ACL在VLAN内部发挥作用，没有入站和出站方向，应在全局下应用．(S2950不支持)分析 教材CCNP316例16.1禁止主机192.168.99.17和本地子网192.168.99.0／24的其它主机通信．1. 定义流量S3560(config )# ip access-list extented local-17# permit ip host 192.168.99.17 192.168.99.0 0.0.0.2552. 设置策略．S3560(config )# vlan access-map block-17 10Vlan映射表 名字 序号# match ip address local-17匹配地址为local-17的流量# action drop动作丢弃S3560(config )# vlan access-map block-17 20# action forward其它所有流量被转发3. 全局下应用于VLAN.S3560(config )# vlan filter block-17 vlan-list 99在vlan 99下应用该策略实验：禁止主机192.168.1.11访问本地子网中的1.12和1.13.1. 定义流量S3560(config )# ip access-list extented 100# permit ip host 192.168.1.11host 192.168.1.12# permit ip host 192.168.1.11 host 192.168.1.132. 设置策略．S3560(config )# vlan access-map rich10Vlan映射表 名字 序号# match ip address 100 匹配地址为100的流量# action drop动作丢弃S3560(config )# vlan access-map rich20# action forward其它所有流量被转发3. 全局下应用于VLAN.S3560(config )# vlan filter rich vlan-list 1在vlan 1下应用该策略。

Cisco VLAN ACL配置及详解1.什么是ACL？ACL全称访问控制列表（Access Control List），主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包，是控制访问的一种网络技术手段，ACL适用于所有的被路由支持的协议，如IP、tcp、udp、ftp、www等。

2.什么是反掩码？反掩码就是通配符掩码，通过标记0和1告诉设备应该匹配到哪位。

在反掩码中，相应位为1的地址在比较中忽略，为0的必须被检查。

IP地址与反掩码都是32位的数由于跟子网掩码刚好相反，所以也叫反掩码。

路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围，它与子网掩码不同。

它不像子网掩码告诉路由器IP地址是属于哪个子网（网段），通配符掩码告诉路由器为了判断出匹配，它需要检查IP地址中的多少位。

例如：255.255.255.0 反掩码（wildcard-mask）就是0.0.0.255255.255.255.248 反掩码（wildcard-mask）就是0.0.0.73.ACL工作原理：ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。

如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

对于路由器接口而言，ACL是有两个方向：注意：如果发现没有匹配的ACL规则，默认会丢弃该数据包，思科ACL规则默认会有一条隐藏的deny any any规则，而华三ACL规则默认是permit any any规则。

入站----如果是入站访问列表，则当路由器接收到数据包时，Cisco IOS 软件将检查访问列表中的条件语句，看是否有匹配。

如果数据包被允许，则软件将继续处理该数据包。

如果数据包被拒绝，则软件会丢弃该数据包。

出站----如果是出站访问列表，则当软件到接收数据包并将群其路由至出站接口后，软件将检查访问列表中的条件语句，看是否有匹配。

⾼级ACL访问控制列表2.2 C a t a l y s t 系列交换机上的V A C L在Catalyst 系列交换机上，我们可以使⽤VACL（或者说VLAN maps）来实现对⽹络访问的控制，在学习VACL 的实施之前，读者必须完全掌握ACL 的实现⽅法。

VACL 依赖于ACL，它需要使⽤ACL 来对需要采取措施的数据包进⾏标识。

这⾥需要强调⼀点：当⽤户使⽤ACL 标识数据包时，ACL 对数据包的操作⼀定是“permit”。

⽤ACL 标识以后，对此类数据包具体采取什么操作则由VACL 来定义，下⾯显⽰了VACL 的设计流程图：使⽤不同的ACL 对不同类的数据包进⾏标识（全部是permit 语句）：ACL 1：类别1的数据包ACL 2：类别2的数据包ACL 3：类别3的数据包开始编写VACL ：类别1的数据包操作：forward 或者drop 类别2的数据包操作：forward 或者drop 类别3的数据包操作：forward 或者drop序号10序号20序号30序号最⼤其他类别的数据包操作：drop …………VACL 采⽤序号来分辨语句的执⾏顺序（ACL 采⽤从上之下的顺序），序号⼩的语句先执⾏，序号⼤的语句后执⾏，序号可以由⽤户⾃⼰定义（ACL 的语句没有序号，它顺序就是语句输⼊的先后顺序）。

出于安全考虑，和ACL ⼀样，VACL 的末尾也包含⼀条隐式拒绝⼀切的语句。

『注意』VACL 没有⽅向性，它并不是应⽤与某个接⼝的，⽽是应⽤于整个VLAN 的。

下表列出了定义VACL 所需要使⽤的命令与解释：命令解释 vlan access-map name [number] Number 即序号，⼀般为10、20、30……，它决定了该语句的执⾏顺序。

如果⽤户想向10与20语句之间插⼊⼀条语句的话，可以将其序号定义在10与20之间，例如：15。

match ip address {name | number}定义该VACL 语句的匹配条件，name 即ACL 的名称（命名ACL），number 即ACL 的号码（编号ACL）。

ACL协议ACL（Access Control List）是一种访问控制列表，用于控制网络设备或系统中的访问权限。

它是一种基于规则的控制机制，通过定义和管理这些规则，可以限制特定用户或用户组对资源的访问。

1. 概述ACL协议是网络安全中常用的一种控制策略，它通过定义访问规则来限制网络上不同用户或用户组对资源的访问权限。

ACL规则通常基于源IP地址、目标IP地址、协议类型、端口号等参数进行设置，以便根据这些参数对数据包进行过滤和控制。

ACL协议可应用于路由器、交换机、防火墙等网络设备，也可应用于操作系统、数据库等系统，以实现对网络和系统资源的安全保护。

2. ACL规则ACL规则是实现ACL协议的基本单元，它定义了对特定资源的访问控制策略。

一个ACL规则通常包含以下几个要素：•允许或拒绝：ACL规则可以指定允许或拒绝特定用户或用户组对资源的访问。

允许规则允许用户访问资源，而拒绝规则禁止用户访问资源。

•源地址和目标地址：ACL规则通过指定源IP地址和目标IP地址来确定访问权限。

源地址指的是发起访问的用户或用户组的IP地址，目标地址指的是被访问的资源的IP地址。

•协议类型：ACL规则可以根据协议类型对访问进行限制。

常见的协议类型有TCP、UDP、ICMP等。

•端口号：ACL规则可以基于端口号对访问进行限制。

源端口号是发起访问的用户或用户组的端口号，目标端口号是被访问的资源的端口号。

3. ACL应用场景ACL协议在网络安全中有着广泛的应用，以下是一些常见的应用场景：3.1 网络设备访问控制ACL协议可应用于路由器、交换机等网络设备，用于限制不同用户或用户组对网络设备的访问权限。

通过ACL规则的设置，可以禁止某些用户访问网络设备的管理界面，以保护设备的安全。

3.2 防火墙规则设置防火墙是网络安全的重要组成部分，ACL协议在防火墙的规则设置中起到关键的作用。

通过ACL规则的定义，可以控制特定IP地址或IP地址段的数据包是否允许通过防火墙。

VLAN映射表配置与VLAN ACL及router map比较VLAN映射表配置配置步骤：1、定义vlan的访问图，访问图可以有多条语句，每个语句有一个编号2、定义匹配条件，可以匹配ip address、mac addres3、执行动作，丢弃、转发、重定向4、应用vlan的访问图到指定的vlan #vlan filter map-name vlan_list listVLAN访问控制（VACL），也称为VLAN访问映射表，它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。

目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

VACL很少用到，在配置时要注意以下几点：1) 最后一条隐藏规则是deny ip any any，与ACL相同。

2) VACL没有inbound和outbound之分，区别于ACL。

3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。

4) VACL规则应用在NAT之前。

5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

6) VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

例：三层交换机上,用VLAN间ACL实验环境：VAN10,VLAN20,VLAN30。

要求VLAN20,30都能访问VLAN10,但20,30之间不能相互访问.三层switch配置：access-list 120 permit ip any 192.168.30.0 0.0.0.255access-list 130 permit ip any 192.168.20.0 0.0.0.255vlan access-map deny20-30 100 定义vlan的访问图deny20-30，序号100match ip add 120 定义匹配条件，匹配access-list 120action drop 执行动作exitvlan filter deny20-30 vlan-list 20 vlan20上应用VACLvlan access-map deny30-20 101match ip add 130action dropexitvlan filter deny30-20 vlan-list 30策略路由配置使用route mapRoute map与access-list非常相似自上而下的运行检查, 找到一个匹配就离开route map行带有顺序号容易编辑，可以随意插入和删除Route map是命名的，容易归档，Match…set…实例一：拓扑图试验1: 基于源地址的策略路由。

VLAN的划分以及ACL的使用教程用到什么命令像网桥那样，交换机将局域网分为多个冲突域，每个冲突域都是有独立的宽带，因此大大提高了局域网的带宽。

对于VLAN划分也是个很重要的步骤，这是一篇根据实际操作整理的一篇关于划分VLAN 的文章，很具有可操作性，也希望这篇文章可以帮助到大家。

需求分析：以前网络的分析：从总部出来给了一根光纤过来，而这根光纤接入到总部交换机的VLAN20中。

VLAN20的SVI地址是10.1.1.1/24，10.1.2.1/24这两个，在原使情况下10.1.1.0/24与10.1.2.0/24这两个网段要访问192.168.1.0/24的计算机，他们以前的解决方案是在192.168.1.0/24这个网段配置双IP地址，也就是说再给他们配置一个10.1.1.0/24或者10.1.2.0/24。

10.1.1.0/24或者10.1.2.0/24这两个网段要访问总部以外的网段网关必须指定10.1.1.1/24，10.1.2.1/24。

现在的需求分析：从上面我们已经知道他们最主要想利用VLAN来隔离我们的广播域，但需要让我们SW1上的192.168.1.0/24与SW1上的10.1.1.2/24与10.1.2.2/24能够正常访问，还不能影响SW1上面的10.1.1.0/24与10.1.2.0/24访问SW2以及SW2以外的网络。

从上面的需要我们来分析一下，要隔离广播域我们都知道使用交换机上面的VLAN，这个很好解决，但是划了VLAN以后，要使不同VLAN间进行互相访问我们就必须给这个VLAN的SVI地址设置一个IP。

当我们PC上面将网关设置成为自己所在VLAN下面的SVI地址，这样在开启三层交换机的路由功能就能够互相访问了，但是在这里我们又遇见一个问题?那就是从SW2过来的光纤给了两个IP地址给我们10.1.1.1/24，10.1.2.1/24。

而在SW1上面的10网段中的计算机要访问外面的网络就必须将这两个地址设置成网关才行。

在VLAN 之间设置访问控制的方法VLAN技术是解决DDOS攻击、IP地址冲突等问题的良好解决方案，但其本身却存在一个严重问题：不同VLAN网络间不能直接通信，这将如何办？很多企业部署VLAN之后，由于处于不同VLAN的计算机之间不能直接通信，使网络的安全性能得到了很大提高。

但事实上在很多网络中要求不是这样的，如何解决VLAN间的通信问题是我们在规划VLAN时必须认真考虑的问题。

在网络组建初期，网络中只有10%~20%的信息在VLAN之间传播，但随着用户应用的增多，VLAN之间信息的传输量增加了许多倍，如果VLAN之间的通信问题解决得不好，将严重影响网络的使用和安全。

VACL（VLAN ACL）和定时访问列表、动态访问列表、自反访问列表一样都属于ACL扩展应用的一部分，它定义了基于3层以上的信息流量，而所对应的参数则用于2层的VLAN。

VACL多是针对硬件里面应用，比传统的路由器访问列表处理速度明显快的多。

本文将介绍VACL的应用和操作步骤。

一．COS系统下的VACL任何一中流量控制的策略必须要首先制定要控制的是哪一种流量，以及如何处理这些流量。

VACL与普通的ACL的相同，列表也是按照顺序进行匹配的。

ACL号相同的所有ACL形成一个组，在判断一个数据帧时，使用同一组中的条目从上到下逐一进行判断，一遇到满足的条目就终止对该数据帧的判断。

基本的配置方法如下：1．配置ACLSet security acl ip {acl_name} {permit |deny |redirect mod/port} {protocol} {sourceaddress mask} [op] [srcport] {dest mask} [op] [destport] [before editbuffer_index |modify editbuffer_index] [log]Set security acl ip命令后面指定IP ACL的名字，后面是协议的说明和采取的措施。

路由器应用ACL和防火墙的区别路由器应用ACL和防火墙的区别一、两种设备产生和存在的背景不同1、两种设备产生的根源不同路由器的产生是基于对网络数据包路由而产生的。

路由器需要完成的是将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。

防火墙是产生于人们对于安全性的需求。

数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个（一系列）数据包是否应该通过、通过后是否会对网络造成危害。

2、根本目的不同路由器的根本目的是：保持网络和数据的“通”。

防火墙根本的的目的是：保证任何非允许的数据包“不通”。

二、核心技术的不同Cisco路由器核心的acl列表是基于简单的包过滤，从防火墙技术实现的角度来说，NetEye防火墙是基于状态包过滤的应用级信息流过滤。

一个最为简单的应用：企业内网的一台主机，通过路由器对内网提供服务（假设提供服务的端口为tcp 1455）。

为了保证安全性，在路由器上需要配置成：外-》内只允许client访问 server的tcp 1455端口，其他拒绝。

针对现在的配置，存在的安全脆弱性如下：1、IP地址欺骗（使连接非正常复位）2、TCP欺骗（会话重放和劫持）存在上述隐患的原因是，路由器不能监测TCP的状态。

如果在内网的client和路由器之间放上NetEye防火墙，由于NetEye防火墙能够检测 TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的脆弱性。

同时，NetEye 防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。

虽然，路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet服务，用户在使用使也需要先Telnet到路由器上，使用起来不很方便，同时也不够安全（开放的端口为黑客创造了机会）。

acl访问控制列表（Access Control List，ACL）是路由器和交换机接⼝的指令列表，⽤来控制端⼝进出的数据包。

ACL适⽤于所有的被路由协议，如IP、IPX、AppleTalk等。

信息点间通信和内外⽹络的通信都是企业⽹络中必不可少的业务需求，为了保证内⽹的安全性，需要通过安全策略来保障⾮授权⽤户只能访问特定的⽹络资源，从⽽达到对访问进⾏控制的⽬的。

简⽽⾔之，ACL可以过滤⽹络中的流量，是控制访问的⼀种⽹络技术⼿段。

配置ACL后，可以限制⽹络流量，允许特定设备访问，指定转发特定端⼝数据包等。

如可以配置ACL，禁⽌局域⽹内的设备访问外部公共⽹络，或者只能使⽤FTP服务。

ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进⾏配置。

ACL是物联⽹中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层⾯对设备间通信进⾏访问控制，使⽤可编程⽅法指定访问规则，防⽌⾮法设备破坏系统安全，⾮法获取系统数据。

基本信息中⽂名：访问控制列表英⽂名：Access Control List定义：设备可访问的现有服务和信息列表原则：3P原则作⽤正在加载aclACL可以限制⽹络流量、提⾼⽹络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制⼿段。

例如，ACL可以限定或简化路由更新信息的长度，从⽽限制通过路由器某⼀⽹段的通信流量。

ACL是提供⽹络安全访问的基本⼿段。

ACL允许主机A访问⼈⼒资源⽹络，⽽拒绝主机B访问。

ACL可以在路由器端⼝处决定哪种类型的通信流量被转发或被阻塞。

例如，⽤户可以允许E-mail 通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使⽤ WWW 这个功能，就可以通过ACL实现；⼜例如，为了某部门的保密性，不允许其访问外⽹，也不允许外⽹访问它，就可以通过ACL实现。

3P原则记住 3P 原则，您便记住了在路由器上应⽤ ACL 的⼀般规则。