华为交换机可不可以基于VLAN做ACL，而不是物理端口，具体是什么型号，新手啊，好多都不懂

如题所述

S2700-EI支持丰富的ACL策略控制，特别支持基于VLAN下发ACL规则，实现VLAN内多端口的灵活控制和统一资源调度。而S3700、S5700更是三层交换机，以及为运营商提供的S2300、S3300、5300以及S9300，当然支持基于VLAN的ACL，而华三的交换机， 二层交换机需要是EI型号，比如 S3100-26TP-EI，而SI类应该是有问题，没有试过，华三 S3600、S5120EI，S5500，S5800，S7500及以上三层交换机也都支持基于VLAN的ACL。 

在思科设备上，有VLAN ACL和VACL的区别：

我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。 

1)       最后一条隐藏规则是deny ip any any，与ACL相同。

2)       VACL没有inbound和outbound之分，区别于ACL。

3)       若ACL列表中是permit，而VACL中为drop，则数据流执行drop。

4)       VACL规则应用在NAT之前。

5)       一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

6)       VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

在交换机上有两种访问控制列表

1.控制抵达交换机的流量的访问控制列表

2.穿越交换机的流量的访问控制列表

控制穿越流量的三种类型ACL

1.RACL：路由器ACL，路由器是可以支持的，控制的是三层的流量，可以在三层接口上做input/output的过滤

2.VACL：vlan间的ACL，这种ACL是路由器不能支持的，它可以做三层或者VLAN内部的控制，也就是二层/三层都可以做限制

3.RACL：端口ACL，二层端口运用一个三层的访问控制列表，可以对VLAN间或者VLAN内部做限制，只能在input方向应用

VACL的特点

1.VACL能控制vlan内的流量

2.能够对IP或者是非IP的流量进行控制

3.VACL优先RACL进行处理

4.VACL没有方向性，进入或离开都要受控制

在思科设备上，我也试过，应用也很简单。

在华三的设备上，几年前我试过，没成功，只能用以下方法，进行代替性的工作：

基于网段的限速

为了保证办公区对带宽的优先使用，决定采用按VLAN分配带宽的限速策略。由于办公区优先级别高，它的平均带宽应大于带宽总平均值，所以将30M中的10M分配给VLAN 2，10M分配给VLAN 10,10M分配给VLAN 20配置如下：

定义各个vlan的上下行ACL

acl number 3001

rule 0 permit ip source 192.168.0.0 255.255.255.0

acl number 3002 

rule 0 permit ip destination 192.168.0.0 255.255.255.0

acl number 3003 

rule 0 permit ip source 192.168.1.0 255.255.255.0

acl number 3004 

rule 0 permit ip destination 192.168.1.0 255.255.255.0   

acl number 3005

rule 0 permit ip source 192.168.2.0 255.255.255.0

acl number 3006 

rule 0 permit ip destination 192.168.2.0 255.255.255.0

interface GigabitEthernet1/0/1 //在外网口做限速

qos car inbound acl 3001 cir 12288000 cbs 800000 ebs 0 green pass red discard   //vlan2上行带宽限制为12M

qos car inbound acl 3003 cir 12288000 cbs 800000 ebs 0 green pass red discard   //vlan10上行带宽限制为12M

qos car inbound acl 3005 cir 12288000 cbs 800000 ebs 0 green pass red discard   //vlan20上行带宽限制为12M

qos car outbound acl 3002 cir 12288000 cbs 800000 ebs 0 green pass red discard  //vlan2下行带宽限制为12M

qos car outbound acl 3004 cir 12288000 cbs 800000 ebs 0 green pass red discard  //vlan10下行带宽限制为12M

qos car outbound acl 3006 cir 12288000 cbs 800000 ebs 0 green pass red discard  //vlan20下行带宽限制为12M

interface GigabitEthernet1/0/3 //在内网口做每IP限速

qos car inbound acl 3001 cir 2000000 cbs 100000 ebs 0 green pass red discard   //vlan2上行带宽限制为2M

qos car inbound acl 3003 cir 2000000 cbs 100000 ebs 0 green pass red discard   //vlan10上行带宽限制为2M

qos car inbound acl 3005 cir 2000000 cbs 100000 ebs 0 green pass red discard   //vlan20上行带宽限制为2M

qos car outbound acl 3002 cir 2000000 cbs 100000 ebs 0 green pass red discard  //vlan2下行带宽限制为2M

qos car outbound acl 3004 cir 2000000 cbs 100000 ebs 0 green pass red discard  //vlan10下行带宽限制为2M

qos car outbound acl 3006 cir 2000000 cbs 100000 ebs 0 green pass red discard  //vlan20下行带宽限制为2M

可以通过运行display qos car interface命令查看每条限速命令是否已生效

其他应用，需要实际应用的时候试试看了。 

这是几年前开局时用过的，现在的交换机软件版本更新太快，这个做法，现在已经做不出来了。

现在最常用的，就是在华为X7系列以及X3交换机上做基于IP地址的ACL：

#

 sysname Quidway

#

 time-range server1 09:00 to 18:00 working-day

#

acl number 3001

 rule 1 deny ip destination 192.168.2.1 0 time-range server1

#

interface GigabitEthernet0/0/1

 traffic-filter inbound acl 3001 rule 1

return

刚才找了台机器试了下，华在X3，X7系列都支持，在WEB页面可以配置。将ACL应用到VLAN。