“正常”ACL在接口上应用入站或出站。 但是,我遇到了Cisco 6500系列三层交换机,它使用VLAN访问映射来过滤其VLAN内的stream量。 它configuration了两个访问映射,一个用于转发stream量,另一个用于丢弃stream量。
我想知道什么时候在路由/交换期间应用这些访问映射? 它们是否在任何受影响的VLAN端口,出站或其他时间入站?
编辑:也许我不清楚。 我明白如何应用访问映射和所需的命令; 我问的是,在设备的切换逻辑中, 何时将这些决定应用于数据包(或者帧可能是更好的术语)。 从下面的一个答案看来,丢弃/转发决定是在分配给所讨论的VLAN的任何端口上进行的。 它是否正确?
如果使用vlan filter命令将access-map应用于vlan N,则在进入vlan时,所有的第2层和第3层stream量将被access-map过滤。
我build议您阅读http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/vacl.html#wp1037197 ,以获取关于vlan ACL工作。
通常你需要将地图/ ACL绑定到一个接口。 在你的情况下(L3-Switch),这个接口应该是一个VLAN-pseudo-interface(conf t – > int vlan 111),而不是一个实际的以太网端口。
你可以粘贴configuration的相关部分?