[VACLとは]
VLANに着信するトラフィック(IN方向)に対して適用できるACL。
L2経由、L3経由関係なく、以下のようなトラフィックをフィルタリング可能。
・VLAN内部でブリッジングされるトラフィック
・VLAN間でルーティングされるトラフィック
※通常のACLと違い送信トラフィック(OUT方向)は制御できないため注意。
[VACL設定]
VACLは、①ACL定義/②VACL定義/③VACL適用の三段階で設定する。
①ACL定義
standard:
(config)# access-list number [ permit | deny ] protocol src-ip mask
extended:
(config)# access-list number [ permit | deny ] protocol src-ip mask src-port dst-ip mask dst-port
※標準、拡張(名前付きでもOK)どちらでも設定可能。
トラフィックの許可/拒否はVACL側で設定するため、
この段階ではpermit/denyを意識しなくて良い。
②VACL定義
(config)# vlan access-map map-name [ sequence-number ]
(config-access-map)# match [ mac | ip ] address acl-number | acl-name
(config-access-map)# action [ drop [ log ] | forward ]
※シーケンスナンバーは通常のACLと同様10区切りで設定する
(若番から順番にチェックされていく)
「match」で参照するACLを定義し「action」で許可/拒否の設定を行う。
→ややこしいが「match ip address ~」の後はipアドレスではなく
ACL番号orACL名を書くため注意。
③VACL適用
(config)# vlan filter map-name vlan-list vlan-id
※「vlan filter ~」の後にVACL名、「vlan-list ~」の後に
VACLを適用するVLAN番号を記載しマッピングする。