EN 
30.11.2025 Ondřej WELCOME IN MY WORLD

This website is originally written in the Czech language. Most content is machine (AI) translated into English. The translation may not be exact and may contain errors.

Tento článek si můžete zobrazit v originální české verzi. You can view this article in the original Czech version.
Cisco IOS 20 - VLAN access-map - VLAN map - VACL

Cisco IOS 20 - VLAN access-map - VLAN map - VACL

| Petr Bouška - Samuraj |
An Access Control List (ACL) is a list of rules that control or identify traffic on an object (such as a port or VLAN). A VLAN map is an extension based on an ACL that restricts traffic within a VLAN. In addition, it covers all traffic, that is, switched and routed traffic. This article describes the principle, use, and configuration of VLAN maps.
displayed: 25 780x (24 953 CZ, 827 EN) | Comments [3]

General information about ACL, including the division and description of Standard, Extended and Named ACL, is contained in the article

Author:

Related articles:

Cisco IOS

A large series about the operating system of Cisco's active elements. It contains some of the most read articles on this site. The articles describe the configuration of switches and routers, primarily with Cisco IOS. Things about ports, VLANs, STP, ACLs, QoS, etc.

If you want write something about this article use comments.

Comments
  1. [1] Samuraj

    Mám takové jedno dilema, jestli mi někdo poradíte. Jde o to, zda VLAN map, která neobsahuje žádnou match klauzuli, forwarduje nebo dropuje vše. Uvádím dvě citace z Cisco dokumentace, které vidím jako rozpor.

    If the VLAN map has at least one match clause for the type of packet (IP or MAC) and the packet does not match any of these match clauses, the default is to drop the packet. If there is no match clause for that type of packet in the VLAN map, the default is to forward the packet.

    If the VLAN map is configured with a match clause for a type of packet (IP or MAC) and the map action is drop, all packets that match the type are dropped. If the VLAN map has no match clause, and the configured action is drop, all IP and Layer 2 packets are dropped.

    Monday, 08.06.2009 16:46 | answer
  2. [2] Zaram

    respond to [1]Samuraj:

    Dle mého z uvedených citací vyplývá, že "default action" je forwardovat vše. Pokud to chci negovat, tak zadám drop. To se ale týká jen situace kdy se jedná o všechny typy packetů

    Pokud mám alespoň jednu podmínku, všechny packety typu které jsou filtrovány pomocí připojeného třeba access listu (v tomto případě IP packety), ale neodpovídají podmínce (permit v acl) mají default action drop. Ty které jsou "match - permit" jsou forwardovány.

    Logika je dle mého taková, že pokud by default action pro všechny typy packetů byla drop, tak by nezkušený admin nadělal v síti více škody než užitku. Příklad: Chtěl by vyfiltrovat všechny ICMP packety, jak je vedeno v článku. Nastavil by vše jak má být, ale ejhle přestalo by mu fungovat např. routování - IS-IS - CLNS PDU by byly vyfiltrovány.

    Jinak klasický příklad toho, že Cisco ve většině volně dostupné dokumentace sice nelže, ale rozhodně se nesnaží ulehčit pochopení dané problematiky. Dokonce bych řekl, že se v tomoto "oboru" se dopracovali téměř k dokonalosti. Často nějaké téma vysvětlí takovým způsobem, že lépe to nečíst, neboť pochopit co píšou zvládne často jen ten, kdo téma již zná(a ten to číst většinou nepotřebuje). A nejen to, dané téma musí znát více do hloubky aby "ocenil" jak mazaně je to napsané. Holt kdo by si pak platil kurzy, kupoval drahé publikace často dost pochybné kvality, kdyby si vše mohl přečíst zadarmo. Aby se časem samuraj-cz nedostal na nějaký black-list, že kazí kšefty;-)

    Monday, 05.10.2009 09:49 | answer
  3. [3] Martin

    Jenom jeste doplnim polopaticky (sice pozde, ale pro pripadne dalsi zajemce - pro me osobne totiz byly VACL zpocatku hodne nepochopitelne..

    1) VACL rozlisuji dva typy komunikace IP (IP access listy) a non-IP (MAC access listy)

    2) pokud neni pro dany typ komunikace uvedena match klauzule, je standarni akce na konci mapy forward (pouze pro dany typ)

    3) je-li uvedena match klauzule, je vychozi akce na konci mapy deny (opet pouze pro dany typ provozu). Je to analogie implicit deny v ACL.

    4) deny statementy se v ACL ignoruji -> jde se na dalsi statement v ACL (tzn. default deny v ACL nema u VACL vliv)

    V uvedenem prikladu by tedy nebyla non-IP (L2) komunikace filtrovana.

    Tak me tak napada, prosel by pres VACL pri filtraci non-IP trafficu napriklad CDP nebo STP pokud by nebyl explicitne uveden (resp. well known mac adresy v ACL)? Predpokladam ze ne pokud by byla VACL aplikovana na nativni VLANu. Bohuzel ale nemam "gear" kde to odzkouset.

    Jinak diky za super clanky.. Rad se sem vracim.

    Thursday, 10.03.2011 01:56 | answer
Add comment

Insert tag: strong em link

Help:
  • maximum length of comment is 2000 characters
  • HTML tags are not allowed (they will be removed), you can use only the special tags listed above the input field
  • new line (ENTER) ends paragraph and start new one
  • when you respond to a comment, put the original comment number in squar brackets at the beginning of the paragraph (line)