Документация
Page tree
Skip to end of metadata
Go to start of metadata


13.1. Общие сведения о VLAN-ACL

Вы можете использовать ACL для VLAN, чтобы осуществлять контроль всех портов в этой VLAN, не применяя при этом ACL на каждом порту по-отдельности.
Если ACL для VLAN и ACL для порта применены одновременно, ACL для порта будет обработан раньше, чем ACL для VLAN.
Данный коммутатор поддерживает IP VLAN-ACL, MAC VLAN-ACL, IP-MAC VLAN-ACL и IPv6 ACL. Также на VLAN может быть применен userdefined ACL. На один VLAN может быть применен как один, так и несколько VLAN-ACL на входящее (ingress) направление трафика.

13.2. Конфигурация VLAN-ACL

  1. Настроить IP VLAN-ACL;
  2. Настроить MAC VLAN-ACL;
  3. Настроить MAC-IP VLAN-ACL;
  4. Настроить IPv6 VLAN-ACL;
  5. Назначить ACL на VLAN:
  6. Просмотр конфигурации и статистики VLAN-ACL;
  7. Очистка статистики VLAN-ACL.


  1. Настроить IP VLAN-ACL:

Команда

Описание

vacl ip access-group {<1-299> | WORD} in [traffic-statistic] vlan <vlan-range>

no vacl ip access-group {<1-299> | WORD} м vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить IP-ACL {<1-299> | WORD} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group

Удалить IP-ACL {<1-299> | WORD} с VLAN


2. Настроить MAC VLAN-ACL:

Команда

Описание

vacl mac access-group {<700-1199> | WORD} in [traffic-statistic] vlan <vlan-range>

no vacl mac access-group {<700-1199> | WORD} in vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить IP-ACL {<700-1199> | WORD} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group

Удалить IP-ACL {<700-1199> | WORD} с VLAN


3. Настроить MAC-IP VLAN-ACL:

Команда

Описание

vacl mac-ip access-group {<3100-3299> | <acl-name>} in [traffic-statistic] vlan <vlan-range>

no vacl mac-ip access-group {<3100-3299> | <acl-name>} in vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить MAC-IP-ACL{<3100-3299> | <acl-name>} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group.

Удалить ACL {<3100-3299> | <acl-name>} с VLAN <vlan-range>


4. Настроить IPv6 VLAN-ACL:

Команда

Описание

vacl ipv6 access-group {<500-699> | <acl-name>} in [traffic-statistic] vlan <vlan-range>

no ipv6 access-group {<500-699> | <acl-name>} in vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить IPv6 ACL <{<500-699> | <acl-name>} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group.

Удалить ACL {<500-699> | <acl-name>} с VLAN


5. Назначить ACL на VLAN:

Команда

Описание

[no] vacl userdefined access-group <1200-1399> in vlan <vlan-range> [traffic-statistic]


!  В режиме глобальной конфигурации

Применить ACL <1200-1399> на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group.

Удалить ACL <1200-1399> с VLAN


6. Просмотр конфигурации и статистики VLAN-ACL:

Команда

Описание

show vacl in vlan [<vlan-id>]


!  В привилегированном режиме

Отобразить конфигурацию и статистику VLAN-ACL для VLAN, при указании <vlan-id> информация будет отображена только для конкретной VLAN.


7. Очистка статистики VLAN-ACL:

Команда

Описание

clear vacl in statistic vlan [<vlan-id>]


!  В привилегированном режиме

Очистить статистику VLAN-ACL для VLAN, при указании <vlan-id> информация будет очищена только для конкретной VLAN.

13.3. Пример конфигурации VLAN-ACL


Для VLAN 1 и 2 необходимо разрешить прохождение только трафика сети 192.168.1.0\24, весь остальной трафик необходимо запретить.

Конфигурация будет выглядеть следующим образом:

Switch(config)#ip access-list extended vacl_a
Switch(config-ip-ext-nacl-vacl_a)#permit ip any-source 192.168.1.0 0.0.0.255
Switch(config-ip-ext-nacl-vacl_a)#deny ip any-source any-destination
Switch(config-ip-ext-nacl-vacl_a)#exit
Switch(config)#firewall enable
Switch(config)#vacl ip access-group vacl_a in vlan 1-2
  • No labels