VLAN自身通信--VLAN 之间的访问控制

    VLAN技术是解决DDOS攻击、IP地址冲突等问题的良好解决方案，但其本身却存在一个严重问题：不同VLAN网络间不能直接通信，这将如何办？

　　
　　很多企业部署VLAN之后，由于处于不同VLAN的计算机之间不能直接通信，使网络的安全性能得到了很大提高。但事实上在很多网络中要求不是这样的，如何解决VLAN间的通信问题是我们在规划VLAN时必须认真考虑的问题。在网络组建初期，网络中只有10%~20%的信息在VLAN之间传播，但随着用户应用的增多，VLAN之间信息的传输量增加了许多倍，如果VLAN之间的通信问题解决得不好，将严重影响网络的使用和安全。

　　
　　VACL（VLAN ACL）和定时访问列表、动态访问列表、自反访问列表一样都属于ACL扩展应用的一部分，它定义了基于3层以上的信息流量，而所对应的参数则用于2层的VLAN。VACL多是针对硬件里面应用，比传统的路由器访问列表处理速度明显快的多。本文将介绍VACL的应用和操作步骤。

　　
    一．COS系统下的VACL

    任何一中流量控制的策略必须要首先制定要控制的是哪一种流量，以及如何处理这些流量。VACL与普通的ACL的相同，列表也是按照顺序进行匹配的。ACL号相同的所有ACL形成一个组，在判断一个数据帧时，使用同一组中的条目从上到下逐一进行判断，一遇到满足的条目就终止对该数据帧的判断。基本的配置方法如下：

    1．配置ACL

    Set security acl ip {acl_name} {permit |deny |redirect mod/port} {protocol} {sourceaddress mask} [op] [srcport] {dest mask} [op] [destport] [before editbuffer_index |modify editbuffer_index] [log]

    Set security acl ip命令后面指定IP ACL的名字，后面是协议的说明和采取的措施。

    Permit |deny分别对应为：Permit是允许通过，deny是丢弃包。如果加上Redirect选项就代表不使用CAM（content addressable memory），而把流量发送到交换机上一个指定的mod/port对应的端口上。对于COS的交换机来说ACL直到被提交之前都首先写入一个特殊的缓冲区，并不作为交换机当前运行的条目，before和modify参数是指将配置的acl条目放到某条列表之前或者修改其实的参数。

    2．写入到TCAM

    前面已经说到了，在配置完ACL之后，它只在编辑缓冲区里面，我们必须同过commit security acl命令将配置写入到TCAM（ternary content addressable memory）。完整的命令参数如下：

    commit security acl {name | all }

    name 选项为只提交指定的名称列表（可以使用show security acl ip name editbuffer 查看编辑缓冲区内未被提交到内容的控制条目），all 选项指提交所有未写入的VACL。

    3．映射到VLAN

    VACL与ACL都需要在提交之后把它们对应到作用对象上，如interface vlan1///ip access-group 101 out：这两句将access-list 101应用到vlan1接口的out方向。其中101是ACL号，和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤，可以有in和out两种选择。COS VACL的配置同上面的道理一样，具体体现在：一个VLAN只能有一个VACL映射对其起作用，但一个VACL可以同时被多个VLAN同时调用。命令参数如下：

    Set security acl map acl_name vlan

    除了使用show security acl ip name editbuffer 可以查看编辑缓冲区的内容以外，在应用到VLAN以后，我们可以使用 show security acl info 和show security acl map 核实对配置和映射的结果。