vlan access-map后面的名字定义的时候最好有针对性或者提示性,而后续的设置的子句都使用number选项。如果在这里进行了分组的设置,每一个子句都要经过匹配检测,直到没有发现匹配语句才丢弃分组。
命令二:(vlan-map) match ip address {aclname | aclnumber}
执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是你在前面配置ACL的名称或编号,而ACL定义的permit语句在这里表示匹配的意思,deny表示不匹配。
命令三:(vlan-map) action {drop | forward}
交换机根据匹配ACL确定的匹配,action命令后面的参数才是代表流量是允许(forward)还是丢弃(drop)。 3.应用与检查
完成之前的配置后,需要用vlan filter命令把访问列表应用到交换机。格式如下: (global) vlan filter mapname vlan-list list
Mapname参数对应的是vlan access-map命令创建的映射名称,list是vlan的序号。都配置完成之后,可以利用show命令检查VACL工作的状态,命令如下: * show ip access-lists [number | name] * show vlan access-map [mapname]
* show vlan filter [access-map name | vlan vlan-id] * show ip interface type number