“常规” ACL 应用于接口的入站或出站。但是,我遇到过一台 Cisco 6500 系列第 3 层交换机,它使用 VLAN 访问映射来过滤其 VLAN 内的流量。它配置了两个访问映射,一个用于转发流量,一个用于丢弃流量。
我想知道的是,在路由/交换过程中何时应用这些访问映射?它们是在任何受影响的 VLAN 端口上入站、出站,还是完全在其他时间?
编辑:我可能说得不清楚。我明白如何应用访问映射和所需的命令;我问的是什么时候在设备的交换逻辑中,这些决策是否适用于数据包(或者也许帧是一个更好的术语)。从下面的一个答案来看,似乎丢弃/转发决策是在分配给相关 VLAN 的任何端口上进行的。这是正确的吗?
答案1
如果你使用vlan filter命令将访问映射应用于 vlan N,则进入 vlan N 时,所有第 2 层和第 3 层流量都将由访问映射过滤。
我建议你阅读http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/vacl.html#wp1037197了解有关 VLAN ACL 如何工作的非常完整的信息。
答案2
通常您需要将映射/ACL 绑定到接口。在您的情况(L3 交换机)中,此接口应为 VLAN 伪接口(conf t -> int vlan 111),而不是实际的以太网端口。
您可以粘贴配置的相关部分吗?