Vlan 访问控制列表，简称VACL。

RACL和VACL

VLAN之间的访问控制，它的实现方式是将ACL直接套用到VLAN的虚连线埠上，与套用到物理连线埠的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它套用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

Switch(config)#vlan access-map map_name [seq#]

Switch(config-access-map)#match{ip address {1-199 | 1300-2699 | acl_name} | ipx address {800-999 | acl_name}| mac address acl_name}

Switch(config-access-map)#action {drop [log]} | {forward [capture]} | {redirect {type slot/port} | {port-channel channel_id}}

Switch(config)#vlan filter map_name vlan_listlist

1) 最后一条隐藏规则是deny ip any any，与ACL相同。

2) VACL没有inbound和outbound之分，区别于ACL。

3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。

4) VACL规则套用在NAT之前。

5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

6) VACL只有在VLAN的连线埠被激活后才会启用，否则状态为inactive。

思科设备配置实例，假设需要在VALN 99 内部过滤数据流，禁止地址为192.168.99.17的主机和本地子网中的其他主机联繫

Switch(config)#ip access-list extended local-17

Switch(config-acl)#permit ip host 192.168.99.17 192.168.99.0 0.0.0.255

Switch(config-acl)# exit

Switch(config)#vlan access-map block-17 10

Switch(config-access-map)# action drop

Switch(config-access-map)#vlan access-map block-17 20

Switch(config-access-map)#actionforward

Switch(config-access-map)# exit

Switch(config)#vlan filter block-17 vlan-list 99