یکی از بهترین امکانات سوئیچ های لایه Access سیسکو همین VACL هستش. داستان خیلی ساده و شفاف. فرض کنید شما برای برقراری امنیت شبکه، کنترل بسته های Broadcast و خیلی توجیهات دیگه، تصمیم گرفتید توی شبکه سوئیچینگ تحت مدیریتتون VLAN تعریف کنید.
خوب،احتمالا ابتدا VLAN ها بر اساس سیاست های امنیتی یا نواحی جغرافیایی تعریف خواهند شد، بعدش هم تخصیص پورت های شبکه به VLAN ID ها و نوشتن Access-List و اعمال آن روی اینترفیس VLAN ها انجام میشه. بسیار خوب، حالا تونستید ترافیک بین سگمنت ها رو کنترل کنید ولی این Configuration در مورد کنترل ترافیک موجود بین کلاینت های یک VLAN کارآمد نخواهد بود. پیکربندی زیر نمونه ای از تعریف یک VLAN ACL به منظور کنترل ترافیک پورت ریموت دسکتاپ در داخل یک VLAN می باشد. دیگه بال و پر دادن به این سناریو دست خودتون رو می بوسه.
ip access-list extended no-RDP
permit tcp 172.16.5.0 0.0.0.255 172.16.5.0 0.0.0.255 eq 3389
vlan access-map accMAPrdp 10
match ip address no-RDP
action drop
vlan access-map accMAPrdp 20
action forward
!
vlan filter accMAPrdp vlan-list 5