您的位置：首页 > 职场人生

路由交换之VLAN-MAP详解(CCIE实验必考特性)

2008-10-17 09:45 375 查看

就一个特性，没有什么拓扑图来介绍了！

如果您看完本帖，还有疑问可以PM我！
以下摘自个人的备考备课笔记和CCIE RS考试特性专题：

http://www.56cto.com/html/Center/News/Cisco/200805/07-22669.html

VLAN MAP 是应用于VLAN中的一种访问控制应用
------------------------------------------------------------------------------------------------
下面是CCIE-Lab真实考题中的一个应用：
7 Filtering: VLAN-Map（没做好会影响到BB2ping不通）
On VLAN_BB2(即VLAN50), do not allow(=block) vines-ip traffic. Other traffics are permitted.
问：如何知道在SW2上做呢？ BB2-------SW2-F0/10
Sw2 : Vines-ip 主机系统协议
#mac access-list extended VINES-IP ----------二层抓
permit any any vines-ip
#vlan access-map cisco 10
action drop
match mac address VINES-IP
#vlan access-map cisco 20 ---- //默认最后一条是DROP
action forward
#vlan filter cisco vlan-list 50 ---在VLAN 50上加载一个名为cisco的前缀列表，用前缀列表决定VLAN过滤(---记得一定要加过滤这一条)

检查：SW2# sh vlan access-map
SW2# sh vlan filter

-------------------------------------------------------------------------------------------------
使用vlan access-map的全局配置命令去创建一个VLAN MAP ，当你使用match 命令来指定需要匹配的IP或非IP的流量，并使用action的命令去设置匹配后数据包的处理是转发还是丢弃。
(vlan map是用在vlan内部的，所以它不能具体指定是应用在哪个方向的，它是应用在vlan接口上的而不是普通的接口上。它可以和router acl结合使用)
同普通的访问控制列表不同,VACL是用在VLAN内对数据进行过滤的,而前者是用在第三层接口对出入的数据包进行过滤,例如:在同一个VLAN内部,我们可能不允许其他主机对另一台主机进行访问,此时我们可以使用VLAN来实现,其配置方法如下:
vlan access-map name [number]
number 这个可选项是map的序列号（0到65535）。默认为10，并且以10递增。
在全局配置模式下，使用使用vlan filter命令去应用这个MAP到一个或多个VLAN上。
例如，要求VLAN 1 (192.168.1.0/24)和 VLAN 2(192.168.2.0/24) 都可以同外网通讯，但是相互之间不可以相互访问:
ip access-list V1 permit ip any 192.168.2.0 0.0.0.255 //匹配访问VLAN 2的流量。
ip access-list V2 permit ip any 192.168.1.0 0.0.0.255 //匹配访问VLAN 1的流量。
以下定义access-map阻止顺序，先由10开始，过滤掉xxx信息，再到20
vlan access-map D1to2 10
match ip address V1 //匹配访问VLAN 2的流量
action drop //凡是访问VLAN 2的流量都丢弃
exit
vlan filter D1to2 vlan-list 1 //将VLAN MAP 应用到VLAN 1
vlan access-map D2to1 10
match ip address V2 //匹配访问VLAN 1的流量
action drop //凡是访问VLAN 1的流量都丢弃
exit
vlan filter D2to1 vlan-list 2 //将VLAN MAP 应用到VLAN 2
二．IOS系统下的VACL
1．编写ACL
　　（1）表准访问控制列表
　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的数据包采取“拒绝”或“允许”两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。语法如下：
　　router(config)#access-list [list number][permit | deny | remark][host/any][source a ddress][wildcard-mask][log]
　　（2）扩展访问列表
　　扩展访问列表主要增加报文过滤能力，一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及在特定报文字段。协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等，协议选项是区别标准的访问列表的特征之一。扩展的列表标号从100~199，2000~2699。
　　（3）基于名称的访问列表
　　基于名称的访问列表遵守和数字的IP访问控制列表一样的逻辑，名字可以更加容易的记住访问控制列表的功能，命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句，而编号访问控制列表只能删除整个访问控制。语法如下：
　　router(config)#ip access-list {standard | extended} name
　　这表示要进入的name所指定的列表配置模式，所有的permit和deny操作都是进入到这个模式下进行配置的。
2．创建映射
　　VACL主要区别于上述ACL操作的方法，就是将已经创建好的ACL映射到一个VLAN上。创建映射分为3步，命令与法和解释如下：
　　命令一：(global) vlan access-map name [number]
　　vlan access-map后面的名字定义的时候最好有针对性或者提示性，而后续的设置的子句都使用number选项。如果在这里进行了分组的设置，每一个子句都要经过匹配检测，直到没有发现匹配语句才丢弃分组。
　　命令二：(vlan-map) match ip address {aclname | aclnumber}
　　执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是你在前面配置ACL的名称或编号，而ACL定义的permit语句在这里表示匹配的意思，deny表示不匹配。
　命令三：(vlan-map) action {drop | forward}
　　交换机根据匹配ACL确定的匹配，action命令后面的参数才是代表流量是允许（forward）还是丢弃（drop）。
3．应用与检查
　　完成之前的配置后，需要用vlan filter命令把访问列表应用到交换机。格式如下：　　(global) vlan filter mapname vlan-list list
　　Mapname参数对应的是vlan access-map命令创建的映射名称，list是vlan的序号。都配置完成之后，可以利用show命令检查VACL工作的状态，命令如下：
* show ip access-lists [number | name]
* show vlan access-map [mapname]
* show vlan filter [access-map name | vlan vlan-id]
* show ip interface type number

版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。http://59099.blog.51cto.com/49099/89762

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签： 职场生活休闲

相关文章推荐

新的分享

章节导航