«Обычные» списки ACL применяются к интерфейсу как для входящих, так и для исходящих сообщений. Однако я встречал коммутатор уровня 3 серии Cisco 6500, который использует карты доступа VLAN для фильтрации трафика в своих VLAN. У него настроены две карты доступа: одна для пересылки трафика, а другая для отбрасывания трафика.
Я хотел бы знать, когда во время маршрутизации / коммутации применяются эти карты доступа? Входят ли они на какой-либо затронутый порт VLAN, исходящие или в другое время полностью?
РЕДАКТИРОВАТЬ: Возможно, я был неясен. я понимаю как применить карту доступа и необходимые команды; Я спрашиваю о когдав рамках логики коммутации устройства эти решения применяются к пакетам (или, возможно, кадрам). Из одного ответа ниже кажется, что решение о переключении / пересылке принимается входящим на любой порт, назначенный рассматриваемой VLAN. Это верно?
Если вы используете vlan filter команда для применения карты доступа к vlan N, весь трафик Уровня 2 и Уровня 3 будет отфильтрован картой доступа при входе в vlan N.
Рекомендую прочитать http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/vacl.html#wp1037197 для получения очень полной информации о том, как работает vlan ACL.
Обычно вам нужно привязать карты / ACL к интерфейсу. В вашем случае (L3-Switch) этот интерфейс должен быть псевдо-интерфейсом VLAN (conf t -> int vlan 111), а не фактическим портом Ethernet.
Не могли бы вы вставить соответствующую часть конфига?