通过ACL来实现vlan间通讯控制(1)

1：创建一个vlan map

Step 1 configure terminal

Step 2 vlan access-map name [number]      创建一个VLAN地图，并起名字和定义一个号码

Step 3 action {drop | forward} （Optional）   设置访问VLAN地图的行为，默认为转送

Step 4 match {ip | mac} address {name |number} [name | number]
用IP或者MAC匹配包来配对一个或多个标准或者扩展访问列表

Step 5 end

注：使用 no vlan access-map name 全局命令删除一个vlan map.

例1：

此例指出如何创建一个ACL和VLAN地图来禁止数据包。在第一个地图里面，所有的数据包匹配IP1 ACL（TCP数据包）的都会被丢弃。你先创建IP1ACL，只允许所有TCP数据包。因为VLAN地图中有一个IP数据包的匹配语句，它的默认行为是丢弃所有不符合条件的数据包。

Switch(config)# ip access-list extended ip1
Switch(config-ext-nacl)# permit tcp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 10
Switch(config-access-map)# match ip address ip1
Switch(config-access-map)# action drop

This example shows how to create a VLAN map to permit a packet. ACL ip2 permits UDP packets and any packets that match the ip2 ACL are forwarded.

Switch(config)# ip access-list extended ip2
Switch(config-ext-nacl)# permit udp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 20
Switch(config-access-map)# match ip address ip2
Switch(config-access-map)# action forward