RACL

RACL 是您最有可能熟悉的访问控制列表。通常，路由器 ACL 只是简称为 ACL。唯一需要额外指定的时候是当我们需要参考可用的不同类型的 ACL 时。

路由器 ACL 只是在接口上应用的传入或传出访问列表。

Switch(config)#ip access-list extended 100
Switch(config-ext-nacl)#permit ip any 192.168.1.0 0.0.0.255

VACL

Vlan 访问控制列表或 VACL 实际上比典型的路由器 ACL 更类似于路由映射。您通常还会在 VACL 的匹配部分使用 IP 或 MAC 访问列表。与路由器 ACL 不同，VACL 不应用于 VLAN 传入或传出。反而; 它的应用没有输入或输出指定，就像路线图一样。

VACL 在 ACL TCAM 硬件中进行处理。VACL 会忽略硬件不支持的任何 Cisco IOS ACL 字段。

流量进入一个 VLAN 然后可以离开另一个 VLAN 的事实类似于应用 ACL 入站或出站的概念。流量将进入说 VLAN1。应用于 VLAN1 的 VACL 将适用。如果流量被转发到另一个 VLAN，比如 VLAN2，那么它将成为 VLAN2 上的出口流量。

定义 MAC 访问列表。

Switch(config)#mac access-list extended MACFilter
Switch(config-ext-macl)#permit 123.456.000 000.000.fff any

Define IP access list.
Switch(config)#ip access-list extended IPFilter
Switch(config-ext-nacl)#permit ip any 192.168.1.0 0.0.0.255

Create new access-map that matches access lists.
Switch(config)#vlan access-map DropSomeTraffic
Switch(config-access-map)#match ip address IPFilter
Switch(config-access-map)#match mac address MACFilter

到目前为止的配置创建了两个访问列表并匹配它们。要设置删除或转发操作，请使用 action 命令。该命令可以伴随 drop、forward 或 redirect。

Switch(config-access-map)#action drop

最后，我们需要将 VACL 应用到 vlan(s)。这是从全局配置模式完成的。

Switch(config)#vlan filter DropSomeTraffic vlan-list 1,3,17-20

PACL

端口访问控制列表（PACL）用作 IP 或 MAC 访问列表。PACL 非常类似于路由器 ACL。PACL 应用于交换机端口，可以指定用于入口或出口流量。如果同时配置了 VACL 和 PACL，则 PACL 将首先应用于入口流量。如果流量被允许，则它将受到 VACL 的约束。

Switch(config-if)#ip access-group PACLIPList in
Switch(config-if)#mac access-group PACLMACList in

如果同时配置了 VACL 和 PACL，某些交换机允许修改它们之间的交互方式。默认情况下，这两个 ACL 将被合并。也可以修改模式，以便 PACL 优先。

Switch(config-if)#access-group mode prefer merge <---Default
Switch(config-if)#access-group mode prefer port

如果使用 no switchport 命令将端口更改为第 3 层端口，则 PACL 仍保留在配置中但处于非活动状态。使用命令 switchport 将端口更改回第 2 层会导致 PACL 再次处于活动状态。

创建端口 ACL 时，会在 ACL TCAM 中创建一个条目。您可以使用该show tcam counts命令查看有多少 TCAM 空间可用。

来源：https : //www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/vacl.pdf