VLAN技术是解决DDOS攻击、IP地址冲突等问题的良好解决方案,但其本身却存在一个严重问题:不同VLAN网络间不能直接通信,这将如何办?
VACL(VLAN ACL)和定时访问列表、动态访问列表、自反访问列表一样都属于ACL扩展应用的一部分,它定义了基于3层以上的信息流量,而所对应的参数则用于2层的VLAN。VACL多是针对硬件里面应用,比传统的路由器访问列表处理速度明显快的多。本文将介绍VACL的应用和操作步骤。
一.COS系统下的VACL
任何一中流量控制的策略必须要首先制定要控制的是哪一种流量,以及如何处理这些流量。VACL与普通的ACL的相同,列表也是按照顺序进行匹配的。ACL号相同的所有ACL形成一个组,在判断一个数据帧时,使用同一组中的条目从上到下逐一进行判断,一遇到满足的条目就终止对该数据帧的判断。基本的配置方法如下:
1.配置ACL
Set security acl ip {acl_name} {permit |deny |redirect mod/port} {protocol} {sourceaddress mask} [op] [srcport] {dest mask} [op] [destport] [before editbuffer_index |modify editbuffer_index] [log]
Set security acl ip命令后面指定IP ACL的名字,后面是协议的说明和采取的措施。
Permit |deny分别对应为:Permit是允许通过,deny是丢弃包。如果加上Redirect选项就代表不使用CAM(content addressable memory),而把流量发送到交换机上一个指定的mod/port对应的端口上。对于COS的交换机来说ACL直到被提交之前都首先写入一个特殊的缓冲区,并不作为交换机当前运行的条目,before和modify参数是指将配置的acl条目放到某条列表之前或者修改其实的参数。
2.写入到TCAM
前面已经说到了,在配置完ACL之后,它只在编辑缓冲区里面,我们必须同过commit security acl命令将配置写入到TCAM(ternary content addressable memory)。完整的命令参数如下:
commit security acl {name | all }
name 选项为只提交指定的名称列表(可以使用show security acl ip name editbuffer 查看编辑缓冲区内未被提交到内容的控制条目),all 选项指提交所有未写入的VACL。
3.映射到VLAN
VACL与ACL都需要在提交之后把它们对应到作用对象上,如interface vlan1///ip access-group 101 out:这两句将access-list 101应用到vlan1接口的out方向。其中101是ACL号,和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤,可以有in和out两种选择。COS VACL的配置同上面的道理一样,具体体现在:一个VLAN只能有一个VACL映射对其起作用,但一个VACL可以同时被多个VLAN同时调用。命令参数如下:
Set security acl map acl_name vlan
除了使用show security acl ip name editbuffer 可以查看编辑缓冲区的内容以外,在应用到VLAN以后,我们可以使用 show security acl info 和show security acl map 核实对配置和映射的结果。
转 载:http://www.qqread.com/network/d17/i388335.html
更多内容请看访问控制列表(ACL)介绍、访问控制列表、热门通信技术专区专题,或进入讨论组讨论。
相关专题
- 华为路由器交换机VLAN配置实例 (22880次浏览)
- 交换机 VLAN配置基础及实例 (18361次浏览)
- VLAN技术浅谈 (5815次浏览)
- CISCO交换机VLAN配置指南(一) (5646次浏览)
- CISCO交换机VLAN配置指南(二) (4195次浏览)
- 交换机VLAN的配置 (4037次浏览)
- 第三层交换技术实现VLAN间通信 (3778次浏览)
- 第三层交换技术及在VLAN子网规划中的应用 (3413次浏览)
- CISCO交换机VLAN配置指南(三) (3062次浏览)
- CISCO交换机VLAN配置思路 (2462次浏览)
