13.1. Общие сведения о VLAN-ACL
Вы можете использовать ACL для VLAN, чтобы осуществлять контроль всех портов в этой VLAN, не применяя при этом ACL на каждом порту по-отдельности.
Если ACL для VLAN и ACL для порта применены одновременно, ACL для порта будет обработан раньше, чем ACL для VLAN.
Данный коммутатор поддерживает IP VLAN-ACL, MAC VLAN-ACL, IP-MAC VLAN-ACL и IPv6 ACL. Также на VLAN может быть применен userdefined ACL. На один VLAN может быть применен как один, так и несколько VLAN-ACL на входящее (ingress) направление трафика.
13.2. Конфигурация VLAN-ACL
- Настроить IP VLAN-ACL;
- Настроить MAC VLAN-ACL;
- Настроить MAC-IP VLAN-ACL;
- Настроить IPv6 VLAN-ACL;
- Назначить ACL на VLAN:
- Просмотр конфигурации и статистики VLAN-ACL;
- Очистка статистики VLAN-ACL.
- Настроить IP VLAN-ACL:
Команда | Описание |
---|---|
vacl ip access-group {<1-299> | WORD} in [traffic-statistic] vlan <vlan-range> no vacl ip access-group {<1-299> | WORD} м vlan <vlan-range> ! В режиме глобальной конфигурации | Применить IP-ACL {<1-299> | WORD} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group Удалить IP-ACL {<1-299> | WORD} с VLAN |
2. Настроить MAC VLAN-ACL:
Команда | Описание |
---|---|
vacl mac access-group {<700-1199> | WORD} in [traffic-statistic] vlan <vlan-range> no vacl mac access-group {<700-1199> | WORD} in vlan <vlan-range> ! В режиме глобальной конфигурации | Применить IP-ACL {<700-1199> | WORD} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group Удалить IP-ACL {<700-1199> | WORD} с VLAN |
3. Настроить MAC-IP VLAN-ACL:
Команда | Описание |
---|---|
vacl mac-ip access-group {<3100-3299> | <acl-name>} in [traffic-statistic] vlan <vlan-range> no vacl mac-ip access-group {<3100-3299> | <acl-name>} in vlan <vlan-range> ! В режиме глобальной конфигурации | Применить MAC-IP-ACL{<3100-3299> | <acl-name>} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group. Удалить ACL {<3100-3299> | <acl-name>} с VLAN <vlan-range> |
4. Настроить IPv6 VLAN-ACL:
Команда | Описание |
---|---|
vacl ipv6 access-group {<500-699> | <acl-name>} in [traffic-statistic] vlan <vlan-range> no ipv6 access-group {<500-699> | <acl-name>} in vlan <vlan-range> ! В режиме глобальной конфигурации | Применить IPv6 ACL <{<500-699> | <acl-name>} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group. Удалить ACL {<500-699> | <acl-name>} с VLAN |
5. Назначить ACL на VLAN:
Команда | Описание |
---|---|
[no] vacl userdefined access-group <1200-1399> in vlan <vlan-range> [traffic-statistic] ! В режиме глобальной конфигурации | Применить ACL <1200-1399> на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group. Удалить ACL <1200-1399> с VLAN |
6. Просмотр конфигурации и статистики VLAN-ACL:
Команда | Описание |
---|---|
show vacl in vlan [<vlan-id>] ! В привилегированном режиме | Отобразить конфигурацию и статистику VLAN-ACL для VLAN, при указании <vlan-id> информация будет отображена только для конкретной VLAN. |
7. Очистка статистики VLAN-ACL:
Команда | Описание |
---|---|
clear vacl in statistic vlan [<vlan-id>] ! В привилегированном режиме | Очистить статистику VLAN-ACL для VLAN, при указании <vlan-id> информация будет очищена только для конкретной VLAN. |
13.3. Пример конфигурации VLAN-ACL
Для VLAN 1 и 2 необходимо разрешить прохождение только трафика сети 192.168.1.0\24, весь остальной трафик необходимо запретить.
Конфигурация будет выглядеть следующим образом:
Switch(config)#ip access-list extended vacl_a Switch(config-ip-ext-nacl-vacl_a)#permit ip any-source 192.168.1.0 0.0.0.255 Switch(config-ip-ext-nacl-vacl_a)#deny ip any-source any-destination Switch(config-ip-ext-nacl-vacl_a)#exit Switch(config)#firewall enable Switch(config)#vacl ip access-group vacl_a in vlan 1-2