“正常”ACL 在接口上应用入站或出站。但是,我遇到了一个 Cisco 6500 系列第 3 层交换机,它使用 VLAN 访问映射来过滤其 VLAN 内的流量。它配置了两个访问映射,一个用于转发流量,一个用于丢弃流量。
我想知道的是在路由/交换期间何时应用这些访问映射?它们是在任何受影响的 VLAN 端口上入站、出站还是完全在其他时间?
编辑:也许我不清楚。我了解如何应用访问映射和所需的命令;我问的是,在设备的交换逻辑中,这些决定何时应用于数据包(或者也许帧是一个更好的术语)。从下面的一个答案来看,似乎丢弃/转发决定是在分配给相关 VLAN 的任何端口上进行的。这个对吗?
如果您使用
vlan filter命令将 access-map 应用于 vlan N,则在进入 vlan N 时,所有第 2 层和第 3 层流量都将被 access-map 过滤。我建议您阅读http://www.cisco.com /en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/vacl.html#wp1037197了解有关 vlan ACL 如何工作的完整信息。
通常您需要将映射/ACL 绑定到接口。在您的情况下(L3-Switch),此接口应该是 VLAN 伪接口(conf t -> int vlan 111)而不是实际的以太网端口。
你能粘贴配置的相关部分吗?