安全ACL应用类型

　　安全ACL分为基于接口和基于VLAN两种应用。

　　基于接口的ACL应用，ACL的运用对象是接口，上文提到主要有六种接口类型。当ACL运用到接口时，有两种选择：in和out，即输入方向和输出方向，这里所谓的方向是针对接口而言。如图1所示：

图1 in方向和out方向概念

　　In和out说明ACL起作用的位置。In方向说明当报文从外界网络进入该接口时，要受到ACL的检查，过滤。Out方向说明当报文从该接口转发，准备前往外界网络时，要受到ACL的检查，过滤。

　　基于VLAN的ACL应用，ACL的运用对象是VLAN，同样基于VLAN的ACL也有in和out方向，但和基于接口的ACL应用的in和out不同的是，这里所谓的in和out方向是针对VLAN而言的，不是针对接口而言的。如图2所示：

图2 基于VLAN应用的原理图

　　若在VLAN 1上应用一个ACL，当报文从属于VLAN 1的接口进入交换机，相当于进入VLAN 1，就是in方向，此时要受到该VACL的过滤，检查。当报文从属于VLAN 1的接口转发时，由于该端口属于VLAN 1，不算是离开VLAN1，因此不受到VACL过滤。当报文通过路由，从属于VLAN1的接口路由到属于VLAN 2的接口时，此时相当于离开VLAN 1，就是out方向，要受到VACL的过滤。

　　当VLAN应用一个ACL，那么进入VLAN和离开VLAN的报文都受到VACL的限制，过滤。这也和基于接口的ACL不同。

　　基于VLAN的ACL容易和应用在三层接口SVI口上的ACL混淆。这两者的层次不同，基于VLAN的ACL，由于VLAN是二层概念，所以主要过滤VLAN所属二层接口收到的报文。而SVI是一个三层逻辑接口，应用在SVI上的ACL是基于三层接口的ACL，主要过滤通过路由转发的报文。若VLAN是一个Private VLAN，则无法运用VACL和基于SVI的ACL，若VLAN是Super VLAN，则和普通VLAN相同。