VLAN三层隔离命令配置问题：如何通过ACL实现不同VLAN间互访控制？

1. 问题概述

在现代企业网络中，VLAN（虚拟局域网）的三层隔离配置是实现网络安全和流量管理的关键技术之一。通过ACL（访问控制列表），可以精确地控制不同VLAN间的互访行为。然而，在实际部署过程中，常见的问题包括规则顺序错误、反向流量未放行以及ACL绑定不当等。

例如，假设网络中有两个VLAN：VLAN10（IP网段192.168.10.0/24）和VLAN20（IP网段192.168.20.0/24），两者通过三层交换机互联。如果需要允许VLAN10访问VLAN20的HTTP服务（端口80），但阻止其他流量，则需要正确配置扩展ACL。

2. 常见问题分析

1. ACL规则顺序错误： ACL规则遵循“从上到下”的匹配原则，一旦某条规则被匹配，后续规则将不再生效。因此，如果默认拒绝规则放在前面，所有流量都会被阻止。
2. 忽略反向流量放行： 在TCP会话中，除了正向流量外，还需要允许反向流量返回。否则，即使正向流量被允许，连接也可能中断。
3. 未正确绑定ACL： ACL必须正确应用到SVI接口或路由器的出方向或入方向。如果绑定错误，策略可能完全失效。

3. 解决方案详解

以下是针对上述问题的具体解决方案，包含详细步骤和注意事项：

3.1 创建扩展ACL

在三层交换机上创建扩展ACL以允许VLAN10访问VLAN20的HTTP服务：

access-list 101 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80
access-list 101 deny ip any any
    

上述配置中，第一条规则允许VLAN10（192.168.10.0/24）访问VLAN20（192.168.20.0/24）的HTTP服务（端口80）。第二条规则作为默认拒绝规则，阻止所有其他流量。

3.2 绑定ACL到接口

将ACL应用到VLAN10的出方向接口：

interface Vlan10
ip access-group 101 out
    

确保ACL被正确绑定到出方向，以限制从VLAN10到VLAN20的流量。

3.3 验证配置

完成配置后，使用以下命令验证连通性：

• 从VLAN10设备尝试访问VLAN20的HTTP服务，确认是否成功。
• 测试其他流量是否被阻止，例如Ping或SSH。

4. 技术扩展与优化

为了进一步优化配置，可以考虑以下几点：

5. 流程图说明

以下是配置流程的简化图示：

graph TD;
    A[开始] --> B[创建扩展ACL];
    B --> C[绑定ACL到接口];
    C --> D[测试连通性];
    D --> E[结束];