VLAN访问控制列表（VACL）

先决条件：虚拟局域网（VLAN）、访问控制列表（ACL）

VLAN（虚拟局域网）是一种将广播域在二层层面逻辑上划分为更小区域的机制。如果我们创建不同的VLAN，那么默认情况下，一个属于某个VLAN的主机可以与同一VLAN内的所有其他主机进行通信。如果我们希望某些主机无法与同一VLAN内的其他主机进行通信，那么就可以使用VLAN访问列表或私有VLAN的概念来实现这一目标。（访问列表是一组用于过滤数据包的允许或禁止条件。）
VLAN访问控制列表（VACL） 

VLAN ACL用于过滤属于某个VLAN内的流量，即那些发往同一VLAN内目标主机的流量。所有进入该VLAN的数据包都会根据VACL进行筛选。与路由器ACL不同，VLAN ACL并不以方向为区分标准，但可以通过组合多个VACL以及私有VLAN功能来实现基于方向的流量过滤。
程序/步骤 

1. 定义将在VACL中使用的标准或扩展访问列表。 
   应该定义一个访问列表，以区分所传输的流量类型，以及该流量应用于哪些主机。
2. 定义VLAN访问映射—— 
   VLAN访问映射的定义中，会指定哪些主机的IP地址可以被匹配（使用所定义的访问列表进行匹配）。
3. 在VLAN访问映射序列中配置一个动作条款。 
   这将决定对于该流量（在VLAN访问映射中定义）应该采取何种操作，即转发还是丢弃。
4. 将VLAN访问映射应用到指定的VLAN上。 
   配置VACL的最后一步是创建一个过滤列表，该列表指定了访问映射所应用于的VLAN。
5. 显示VLAN访问映射信息。 
   我们可以通过使用相应的命令来验证这些信息。

 VACLs被用于多种不同的目的，包括：

安全性：VACL可以用来控制对特定VLAN的访问权限，从而防止未经授权的用户访问敏感资源。例如，可以使用VACL来阻止除授权用户之外的所有流量进入或离开某个VLAN。

2. 过滤：VACL可以借助明确的模型来引导流量，比如通过IP地址或端口号来实现。这样可以帮助减少网络拥堵情况，从而限制不良流量的产生。

3. 监控：VACL可以用于筛选进入或离开某个VLAN的网络流量，从而了解网络的运行情况。例如，可以利用VACL来记录所有进入或离开某个VLAN的流量，这样就能及时发现潜在的安全隐患或网络问题。

4. 服务质量：VACLs可以被用来监控进入或离开某个VLAN的网络流量，从而确保基础流量能够获得足够的传输能力，同时降低网络堵塞的可能性。

配置 – 

有一个名为switch1的交换机，它连接了三个路由器：Router1（IP地址：192.168.1.1/24）、Router2（IP地址：192.168.1.2/24）以及Router3（IP地址：192.168.1.3/24）。如图所示。

在Router1上配置IP地址。

Router1(config)#int fa0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shut

在Router2上配置IP地址。

Router2(config)#int fa0/0Router2(config-if)#ip address 192.168.1.2 255.255.255.0Router2(config-if)#no shut

在路由器3上配置IP地址。

Router3(config)#int fa0/0Router3(config-if)#ip address 192.168.1.3 255.255.255.0Router3(config-if)#no shut

在这个任务中，我们将使用VACL来阻止从Router1到Router3的流量。

在 switch1 上配置访问列表，使得所有来自主机 192.168.1.1 到 192.168.1.3 的 IP 流量都被允许通过。

switch1(config)#ip access-list extended My_access_listswitch1(config-ext-nacl)#permit ip host 192.168.1.1 host 192.168.1.3 

现在，我们需要配置 VLAN 访问映射规则。该规则要求：只有当数据包的 IP 地址与访问列表中定义的 IP 地址匹配时，才执行丢弃操作。也就是说，从 192.168.1.1 到 192.168.1.3 之间的流量是不被允许通过的。

switch1(config)#vlan access-map Mapping 10switch1(config-access-map)#match ip address My_access_listswitch1(config-access-map)#action drop switch1(config-access-map)#exit

在第一个命令中，10是访问映射的序列号。如果我们不指定任何序列号，那么系统会自动使用10作为序列号。
现在，对于从路由器1（192.168.1.1）到路由器3（192.168.1.3）的流量来说，这些流量会被丢弃。那么，从路由器2到路由器3的流量又该怎么办呢？

从Router2到Router3的流量也会被丢弃，因为对于这种流量没有定义任何允许的规则（即默认情况下会被拒绝）。因此，我们必须再定义一个规则，以允许其他类型的流量通过。

switch1(config)#vlan access-map Mapping 20switch1(config-access-map)#action forward switch1(config-access-map)#exit

在第一个命令中，20表示该规则的顺序号。这意味着，该规则将在顺序号为10的规则之后被检查。

最后，我们将这个名为“My_access_list”的访问映射分配给一个VLAN（这里为VLAN 1）。

switch1(config)#vlan filter Mapping vlan-list 1

为了验证配置是否正确，请使用相应的命令。

switch1#show vlan access-map

此命令会显示访问映射信息。它会显示出访问映射的名称、规则的序列号，以及所使用的访问列表的名称。

switch1#show vlan filter

这将显示那些被VLAN访问映射所过滤掉的VLAN。

优点/好处

• 安全性：VLAN ACLs可以用来通过基于源地址、目标地址、协议类型以及端口号来过滤流量，从而控制对网络资源的访问。这有助于保护网络免受未经授权的访问，同时还可以防止诸如拒绝服务攻击之类的攻击，以及防止对敏感数据的未经授权访问。
• 性能提升：通过在VLAN级别对流量进行过滤，VLAN ACLs能够减少通过网络的流量，从而提升网络性能并降低网络拥堵现象。
• 增强的网络分割功能：VLAN ACLs使得管理员能够定义安全策略，并根据用户或设备的类型来限制对特定VLAN的访问。这种网络分段方式对于拥有多个部门、团队或租户的较大规模网络来说非常重要。
• 提升的QoS性能：VLAN ACLs可以用来对网络流量进行优先级排序，同时为不同类型的流量分配不同的服务质量等级，比如语音或视频流量。

缺点/不利因素

• 复杂性：配置VLAN ACL可能会很复杂，尤其是在那些拥有多个VLAN且安全策略复杂的大型网络中。这种情况可能导致错误和配置不当，进而影响到网络性能和安全性。
• 间接费用：实施VLAN ACLs会为网络带来额外的负担，因为流量需要在每个VLAN级别上进行分析和过滤。这可能会降低网络的性能，并增加延迟。
• 维护：VLAN ACLs需要定期进行维护与更新，因为网络流量模式以及安全策略会随着时间的推移而发生变化。这一过程可能相当耗时，而且还需要专业的技能才能胜任。
• 资源消耗较大：实施VLAN ACL可能需要额外的硬件资源，比如专门的防火墙或具有内置ACL功能的交换机。这些额外的硬件设施会增加整个网络的运营成本。