Документация
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Current »


13.1. Общие сведения о VLAN-ACL

Вы можете использовать ACL для VLAN, чтобы осуществлять контроль всех портов в этой VLAN, не применяя при этом ACL на каждом порту по-отдельности.
Если ACL для VLAN и ACL для порта применены одновременно, ACL для порта будет обработан раньше, чем ACL для VLAN.
Данный коммутатор поддерживает IP VLAN-ACL, MAC VLAN-ACL, IP-MAC VLAN-ACL и IPv6 ACL. Также на VLAN может быть применен userdefined ACL. На один VLAN может быть применен как один, так и несколько VLAN-ACL на входящее (ingress) направление трафика.

13.2. Конфигурация VLAN-ACL

  1. Настроить IP VLAN-ACL;
  2. Настроить MAC VLAN-ACL;
  3. Настроить MAC-IP VLAN-ACL;
  4. Настроить IPv6 VLAN-ACL;
  5. Назначить ACL на VLAN:
  6. Просмотр конфигурации и статистики VLAN-ACL;
  7. Очистка статистики VLAN-ACL.


  1. Настроить IP VLAN-ACL:

Команда

Описание

vacl ip access-group {<1-299> | WORD} in [traffic-statistic] vlan <vlan-range>

no vacl ip access-group {<1-299> | WORD} м vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить IP-ACL {<1-299> | WORD} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group

Удалить IP-ACL {<1-299> | WORD} с VLAN


2. Настроить MAC VLAN-ACL:

Команда

Описание

vacl mac access-group {<700-1199> | WORD} in [traffic-statistic] vlan <vlan-range>

no vacl mac access-group {<700-1199> | WORD} in vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить IP-ACL {<700-1199> | WORD} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group

Удалить IP-ACL {<700-1199> | WORD} с VLAN


3. Настроить MAC-IP VLAN-ACL:

Команда

Описание

vacl mac-ip access-group {<3100-3299> | <acl-name>} in [traffic-statistic] vlan <vlan-range>

no vacl mac-ip access-group {<3100-3299> | <acl-name>} in vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить MAC-IP-ACL{<3100-3299> | <acl-name>} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group.

Удалить ACL {<3100-3299> | <acl-name>} с VLAN <vlan-range>


4. Настроить IPv6 VLAN-ACL:

Команда

Описание

vacl ipv6 access-group {<500-699> | <acl-name>} in [traffic-statistic] vlan <vlan-range>

no ipv6 access-group {<500-699> | <acl-name>} in vlan <vlan-range>

!  В режиме глобальной конфигурации

Применить IPv6 ACL <{<500-699> | <acl-name>} на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group.

Удалить ACL {<500-699> | <acl-name>} с VLAN


5. Назначить ACL на VLAN:

Команда

Описание

[no] vacl userdefined access-group <1200-1399> in vlan <vlan-range> [traffic-statistic]


!  В режиме глобальной конфигурации

Применить ACL <1200-1399> на входящее направление трафика на VLAN <vlan-range>. С включенной опцией traffic-statistic коммутатор будет подсчитывать совпадения этой access-group.

Удалить ACL <1200-1399> с VLAN


6. Просмотр конфигурации и статистики VLAN-ACL:

Команда

Описание

show vacl in vlan [<vlan-id>]


!  В привилегированном режиме

Отобразить конфигурацию и статистику VLAN-ACL для VLAN, при указании <vlan-id> информация будет отображена только для конкретной VLAN.


7. Очистка статистики VLAN-ACL:

Команда

Описание

clear vacl in statistic vlan [<vlan-id>]


!  В привилегированном режиме

Очистить статистику VLAN-ACL для VLAN, при указании <vlan-id> информация будет очищена только для конкретной VLAN.

13.3. Пример конфигурации VLAN-ACL


Для VLAN 1 и 2 необходимо разрешить прохождение только трафика сети 192.168.1.0\24, весь остальной трафик необходимо запретить.

Конфигурация будет выглядеть следующим образом:

Switch(config)#ip access-list extended vacl_a
Switch(config-ip-ext-nacl-vacl_a)#permit ip any-source 192.168.1.0 0.0.0.255
Switch(config-ip-ext-nacl-vacl_a)#deny ip any-source any-destination
Switch(config-ip-ext-nacl-vacl_a)#exit
Switch(config)#firewall enable
Switch(config)#vacl ip access-group vacl_a in vlan 1-2
  • No labels