VLAN ACL (VACL) là một dịch vụ cho phép tạo và quản lý danh sách truy cấp dựa vào địa chỉ MAC, IP. Bạn có thể cấu hình VACLs để kiểm tra các gói tin lưu thông trong nội bộ một VLAN, hoặc giữa các VLAN với nhau. VACLs thì không quản lí truy cấp theo hướng (in, out).
VACLs dùng Access Map để chứa danh sách tuần tự một hoặc nhiều mẫu tin (entry) về việc quản lí truy cấp. Mỗi mẫu tin trong bản đồ truy cấp mô tả việc kiểm tra gói tin dựa vào IP hoặc MAC để áp cho một hành động nào đó đối với những gói tin. Các mẫu tin đều được đánh số thứ tự nên ta có thể cấu hình ưu tiên cho các mẫu tin phù hợp với một yêu cầu nào đó.
Khi các gói tin đi qua thiết bị sẽ được kiểm tra thông qua VACL dựa vào bản đồ truy cấp đã được cấu hình mà thiết bị sẽ quyết định có chuyển tiếp gói tin đi hay không. Những mẫu tin trong VLAN Access Map cung cấp các hành động đối với:
+ Forward: Hành động này sẽ cho phép gói tin được chuyển qua SW
+ Redirect: Gói tin sẽ được chuyển hướng sang 1 hoặc nhiều giao diện được chỉ định
+ Drop: Với một gói tin vi phạm thì hành động này cho phép hủy gói tin ngay lập tức và chúng ta có thể lưu trạng thái (logs) về việc hủy các gói tin này.
Cách cấu hình VACLs:
+ Tạo Vlan Access Map
Switch(config)#vlan
access-map {map-name}{sequence-number}
+ Đưa ACL vào
Switch(config-access-map)#match
{ip|ipv6|mac} address {ip-accesslist}
+ Định nghĩa các hành động cho gói tin
Switch(config-access-map)#action
{forward|drop|redirect}
+ Áp dụng lên các Vlan
Switch(config)#vlan filter
{map-name} vlan-list {list}
+ Gỡ bỏ cấu hình
Switch(config)#no vlan access-map
{map-name} {sequence-number}
Các lệnh kiểm tra cấu hình
Switch#show running-config aclmrg -> hiển thị ACL được cấu hình
Switch#show vlan filter -> hiển thị thông tin VACLs áp dụng cho vlan
Switch#show vlan access-map -> hiển thị các entry trong access-map
