General information about ACL, including the division and description of Standard, Extended and Named ACL, is contained in the article
This website is originally written in the Czech language. Most content is machine (AI) translated into English. The translation may not be exact and may contain errors.
Tento článek si můžete zobrazit v originální české verzi. You can view this article in the original Czech version.
Cisco IOS 20 - VLAN access-map - VLAN map - VACL
Cisco IOS 20 - VLAN access-map - VLAN map - VACL
Cisco IOS 20 - VLAN access-map - VLAN map - VACL
An Access Control List (ACL) is a list of rules that control or identify traffic on an object (such as a port or VLAN). A VLAN map is an extension based on an ACL that restricts traffic within a VLAN. In addition, it covers all traffic, that is, switched and routed traffic. This article describes the principle, use, and configuration of VLAN maps.
displayed: 25 780x (24 953 CZ, 827 EN) | Comments [3]
Author:
Related articles:
Cisco IOS
A large series about the operating system of Cisco's active elements. It contains some of the most read articles on this site. The articles describe the configuration of switches and routers, primarily with Cisco IOS. Things about ports, VLANs, STP, ACLs, QoS, etc.
- Cisco IOS 1 - introduction, show command [08.03.2007 13:00]
- Cisco IOS 2 - IOS version, upgrade and backup [16.03.2007 14:28]
- Cisco IOS 3 - interface/port settings - access, trunk, port security [09.04.2007 11:09]
- Cisco IOS 4 - reset, password recovery [25.04.2007 17:34]
- Cisco IOS 5 - communication with a switch [16.05.2007 16:15]
- Cisco IOS 6 - Initial Switch Configuration [08.06.2007 17:31]
- Cisco IOS 7 - VLAN configuration, VTP [18.06.2007 14:12]
- Cisco IOS 8 - ACL - Access Control List [10.08.2007 15:40]
- Cisco IOS 9 - Spanning Tree Protocol [20.08.2007 17:55]
- Cisco IOS 10 - Rapid Spanning Tree Protocol [01.09.2007 14:11]
- Cisco IOS 11 - IEEE 802.1x, port authentication, MS IAS [10.10.2007 14:38]
- Cisco IOS 12 - IEEE 802.1x and more advanced features [24.10.2007 16:42]
- Cisco IOS 13 - DHCP services on the switch [06.01.2008 11:24]
- Cisco IOS 14 - tips for routine work [29.02.2008 08:15]
- Cisco IOS 15 - backups and restores of configuration and images [13.03.2008 09:43]
- Cisco IOS 16 - HSRP - Hot Standby Routing Protocol [27.05.2008 16:05]
- Cisco IOS 17 - more switches as Stack - StackWise technology [29.07.2008 20:27]
- Cisco IOS 18 - inter-VLAN routing and ACL - routing between VLANs [24.12.2008 11:50]
- Cisco QoS 1 - introduction to Quality of Service and DiffServ [18.01.2009 13:31]
- Cisco QoS 2 - Classification and Marking, Modular QoS CLI [26.01.2009 17:21]
- Cisco QoS 3 - Rate Limiting - Policing, Shaping [01.02.2009 12:20]
- Cisco QoS 4 - Speed Guarantee - Queuing [08.02.2009 13:13]
- Cisco QoS 5 - QoS on the switch, MLS, SRR, Auto QoS [14.02.2009 14:55]
- Cisco QoS 6 - practical examples of QoS usage [28.02.2009 16:33]
- TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
- TCP/IP - IP Multicast and Cisco multicast [10.03.2009 20:05]
- Cisco Routing 1 - General Features of Routing Protocols [20.03.2009 14:43]
- Cisco Routing 2 - EIGRP - Enhanced Interior Gateway Routing Protocol [29.03.2009 19:04]
- Cisco Routing 3 - OSPF - Open Shortest Path First [03.04.2009 10:54]
- Cisco Routing 4 - IS-IS - Intermediate System to Intermediate System [09.04.2009 08:48]
- Cisco Routing 5 - BGP - Border Gateway Protocol [18.04.2009 13:50]
- Cisco Routing 6 - Routing Protocol Comparison [28.04.2009 16:27]
- Cisco IOS 19 - Private VLAN and Protected Port [20.05.2009 18:41]
- Cisco IOS 20 - VLAN access-map - VLAN map - VACL [29.05.2009 15:05] ...... reading now
- Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming [08.06.2009 09:41]
- Common attacks on switches, Cisco Dynamic ARP Inspection [18.06.2009 10:15]
- Cisco - Router Switching methods and related terms - CAM, FIB, CEF [28.06.2009 17:15]
- Cisco IOS 22 - traffic monitoring/control/mirroring - SPAN and RSPAN [15.07.2009 11:52]
- Cisco IOS 23 - User authentication on the switch against Active Directory [15.09.2009 17:09]
- Cisco QoS 7 - Additional Information [05.11.2009 09:31]
- Cisco NX-OS 1 - Virtual Port Channel [25.08.2016 17:14]
- Cisco IOS 24 - security of communication on ports [19.10.2016 11:01]
- Cisco NX-OS 2 - port communication security [03.11.2016 14:18]
- Cisco IOS 25 - StackWise Virtual [11.11.2020 14:13]
- Cisco IOS 26 - IOS XE upgrade - standalone switch, stack and ISSU [12.11.2020 08:29]
If you want write something about this article use comments.
Mám takové jedno dilema, jestli mi někdo poradíte. Jde o to, zda VLAN map, která neobsahuje žádnou match klauzuli, forwarduje nebo dropuje vše. Uvádím dvě citace z Cisco dokumentace, které vidím jako rozpor.
If the VLAN map has at least one match clause for the type of packet (IP or MAC) and the packet does not match any of these match clauses, the default is to drop the packet. If there is no match clause for that type of packet in the VLAN map, the default is to forward the packet.
If the VLAN map is configured with a match clause for a type of packet (IP or MAC) and the map action is drop, all packets that match the type are dropped. If the VLAN map has no match clause, and the configured action is drop, all IP and Layer 2 packets are dropped.
respond to [1]Samuraj:
Dle mého z uvedených citací vyplývá, že "default action" je forwardovat vše. Pokud to chci negovat, tak zadám drop. To se ale týká jen situace kdy se jedná o všechny typy packetů
Pokud mám alespoň jednu podmínku, všechny packety typu které jsou filtrovány pomocí připojeného třeba access listu (v tomto případě IP packety), ale neodpovídají podmínce (permit v acl) mají default action drop. Ty které jsou "match - permit" jsou forwardovány.
Logika je dle mého taková, že pokud by default action pro všechny typy packetů byla drop, tak by nezkušený admin nadělal v síti více škody než užitku. Příklad: Chtěl by vyfiltrovat všechny ICMP packety, jak je vedeno v článku. Nastavil by vše jak má být, ale ejhle přestalo by mu fungovat např. routování - IS-IS - CLNS PDU by byly vyfiltrovány.
Jinak klasický příklad toho, že Cisco ve většině volně dostupné dokumentace sice nelže, ale rozhodně se nesnaží ulehčit pochopení dané problematiky. Dokonce bych řekl, že se v tomoto "oboru" se dopracovali téměř k dokonalosti. Často nějaké téma vysvětlí takovým způsobem, že lépe to nečíst, neboť pochopit co píšou zvládne často jen ten, kdo téma již zná(a ten to číst většinou nepotřebuje). A nejen to, dané téma musí znát více do hloubky aby "ocenil" jak mazaně je to napsané. Holt kdo by si pak platil kurzy, kupoval drahé publikace často dost pochybné kvality, kdyby si vše mohl přečíst zadarmo. Aby se časem samuraj-cz nedostal na nějaký black-list, že kazí kšefty;-)
Jenom jeste doplnim polopaticky (sice pozde, ale pro pripadne dalsi zajemce - pro me osobne totiz byly VACL zpocatku hodne nepochopitelne..
1) VACL rozlisuji dva typy komunikace IP (IP access listy) a non-IP (MAC access listy)
2) pokud neni pro dany typ komunikace uvedena match klauzule, je standarni akce na konci mapy forward (pouze pro dany typ)
3) je-li uvedena match klauzule, je vychozi akce na konci mapy deny (opet pouze pro dany typ provozu). Je to analogie implicit deny v ACL.
4) deny statementy se v ACL ignoruji -> jde se na dalsi statement v ACL (tzn. default deny v ACL nema u VACL vliv)
V uvedenem prikladu by tedy nebyla non-IP (L2) komunikace filtrovana.
Tak me tak napada, prosel by pres VACL pri filtraci non-IP trafficu napriklad CDP nebo STP pokud by nebyl explicitne uveden (resp. well known mac adresy v ACL)? Predpokladam ze ne pokud by byla VACL aplikovana na nativni VLANu. Bohuzel ale nemam "gear" kde to odzkouset.
Jinak diky za super clanky.. Rad se sem vracim.