VLAN MAP 是應用於VLAN中的一種訪問控制應用
------------------------------------------------------------------------------------------------
下面是CCIE-Lab真實考題中的一個應用:
7 Filtering: VLAN-Map(沒做好會影響到BB2ping不通)
On VLAN_BB2(即VLAN50), do not allow(=block) vines-ip traffic. Other traffics are permitted.
問:如何知道在SW2上做呢? BB2-------SW2-F0/10
Sw2 : Vines-ip 主機系統協議
#mac access-list extended VINES-IP
On VLAN_BB2(即VLAN50), do not allow(=block) vines-ip traffic. Other traffics are permitted.
問:如何知道在SW2上做呢? BB2-------SW2-F0/10
Sw2 : Vines-ip 主機系統協議
#mac access-list extended VINES-IP
#vlan access-map cisco 10
#vlan access-map cisco 20
#vlan filter cisco vlan-list 50
檢查:SW2# sh vlan access-map
-------------------------------------------------------------------------------------------------
使用vlan access-map的全局配置命令去創建一個VLAN MAP ,當你使用match 命令來指定需要匹配的IP或非IP的流量,並使用action的命令去設置匹配後數據包的處理是轉發還是丟棄。
(vlan map是用在vlan內部的,所以它不能具體指定是應用在哪個方向的,它是應用在vlan接口上的而不是普通的接口上。它可以和router acl結合使用)
同普通的訪問控制列表不同,VACL是用在VLAN內對數據進行過濾的,而前者是用在第三層接口對出入的數據包進行過濾,例如:在同一個VLAN內部,我們可能不允許其他主機對另一臺主機進行訪問,此時我們可以使用VLAN來實現,其配置方法如下:
vlan access-map name [number]
number 這個可選項是map的序列號(0到65535)。默認爲10,並且以10遞增。
使用vlan access-map的全局配置命令去創建一個VLAN MAP ,當你使用match 命令來指定需要匹配的IP或非IP的流量,並使用action的命令去設置匹配後數據包的處理是轉發還是丟棄。
(vlan map是用在vlan內部的,所以它不能具體指定是應用在哪個方向的,它是應用在vlan接口上的而不是普通的接口上。它可以和router acl結合使用)
同普通的訪問控制列表不同,VACL是用在VLAN內對數據進行過濾的,而前者是用在第三層接口對出入的數據包進行過濾,例如:在同一個VLAN內部,我們可能不允許其他主機對另一臺主機進行訪問,此時我們可以使用VLAN來實現,其配置方法如下:
vlan access-map name [number]
number 這個可選項是map的序列號(0到65535)。默認爲10,並且以10遞增。
在全局配置模式下,使用使用vlan filter命令去應用這個MAP到一個或多個VLAN上。
例如,要求VLAN 1 (192.168.1.0/24)和 VLAN 2(192.168.2.0/24) 都可以同外網通訊,但是相互之間不可以相互訪問:
ip access-list V1 permit ip any 192.168.2.0 0.0.0.255
ip access-list V2 permit ip any 192.168.1.0 0.0.0.255
以下定義access-map阻止順序,先由10開始,過濾掉xxx信息,再到20
vlan access-map D1to2 10
match ip address V1
action drop
exit
vlan filter D1to2 vlan-list 1
例如,要求VLAN 1 (192.168.1.0/24)和 VLAN 2(192.168.2.0/24) 都可以同外網通訊,但是相互之間不可以相互訪問:
ip access-list V1 permit ip any 192.168.2.0 0.0.0.255
ip access-list V2 permit ip any 192.168.1.0 0.0.0.255
以下定義access-map阻止順序,先由10開始,過濾掉xxx信息,再到20
vlan access-map D1to2 10
match ip address V1
action drop
exit
vlan filter D1to2 vlan-list 1
vlan access-map D2to1 10
match ip address V2
action drop
exit
vlan filter D2to1 vlan-list 2
match ip address V2
action drop
exit
vlan filter D2to1 vlan-list 2
二.IOS系統下的VACL
(1)表準訪問控制列表
一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的數據包採取“拒絕”或“允許”兩個操作。編號範圍是從1到99的訪問控制列表是標準IP訪問控制列表。語法如下:
router(config)#access-list [list number][permit | deny | remark][host/any][source a ddress][wildcard-mask][log]
(2)擴展訪問列表
擴展訪問列表主要增加報文過濾能力,一個擴展的IP訪問表允許用戶根據內容過濾報文的源和目的地址的協議、端口以及在特定報文字段。協議項定義了需要被過濾的協議,例如IP、TCP、UDP、ICMP等,協議選項是區別標準的訪問列表的特徵之一。擴展的列表標號從100~199,2000~2699。
(3)基於名稱的訪問列表
基於名稱的訪問列表遵守和數字的IP訪問控制列表一樣的邏輯,名字可以更加容易的記住訪問控制列表的功能,命名的列表允許使用超過99個標準控制列表和100個擴展控制列表。優於編號的控制列表的特點是可以刪除特定的一條語句,而編號訪問控制列表只能刪除整個訪問控制。語法如下:
router(config)#ip access-list {standard | extended} name
這表示要進入的name所指定的列表配置模式,所有的permit和deny操作都是進入到這個模式下進行配置的。
VACL主要區別於上述ACL操作的方法,就是將已經創建好的ACL映射到一個VLAN上。創建映射分爲3步,命令與法和解釋如下:
命令一:(global) vlan access-map name [number]
vlan access-map後面的名字定義的時候最好有針對性或者提示性,而後續的設置的子句都使用number選項。如果在這裏進行了分組的設置,每一個子句都要經過匹配檢測,直到沒有發現匹配語句才丟棄分組。
命令二:(vlan-map) match ip address {aclname | aclnumber}
執行完第一步實際上是進入了訪問映射的配置模式。match ip address後面的參數是你在前面配置ACL的名稱或編號,而ACL定義的permit語句在這裏表示匹配的意思,deny表示不匹配。
命令三:(vlan-map) action {drop | forward}
交換機根據匹配ACL確定的匹配,action命令後面的參數纔是代表流量是允許(forward)還是丟棄(drop)。
完成之前的配置後,需要用vlan filter命令把訪問列表應用到交換機。格式如下: (global) vlan filter mapname vlan-list list
Mapname參數對應的是vlan access-map命令創建的映射名稱,list是vlan的序號。都配置完成之後,可以利用show命令檢查VACL工作的狀態,命令如下: