Jakee_NB

我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。
它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。
目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。
VACL很少用到，在配置时要注意以下几点：
1) 最后一条隐藏规则是deny ip any any，与ACL相同。
2) VACL没有inbound和outbound之分，区别于ACL。
3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。
4) VACL规则应用在NAT之前。
5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。
6) VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。
下面，我以Cisco3550交换机作为实例来详细描述一下两者之间不同的实现方式。

1.单播：网络节点之间的通信就像人们之间的对话一样。当一个人对另一个人说话时，就好比网络中的单播。此时信息的传递的接收只在两个节点间进行。单播在网络中应用很广泛，网络中大部分数据是通过单播的方式进行传输的。例如：收发邮件、浏览网页，就必须与邮件服务器、WEB服务器建立连接。
2.多播（组播）：是一种多地址的广播，发送端与接收端是一对多的关系。服务器只向特定的一组用户发送一个数据包，组中的用户可以共享这个数据包，组外的用户是无法接收到的。多播需要网内路由器的支持。在广域网内实现比较困难。（适用于局域网）
(1)协议支持：并不是所有协议都支持多播通信的。对于WIN32平台，仅两种可以从WinSock内访问的协议（IP/ATM）才提供了对多播通信的支持。
(2)多播地址：IP采用D类地址来支持多播。D类地址的范围244.0.0.0到239.255.255.255。且分为两个地址。永久地址为特殊用途保留的；临时地址为使用前事先创建的。
(3)库的支持：WinSock1提供了实现多播通信的API函数。第一种为WinSock提供的，要求通过套接字选项加入一个组；第二种为WinSock2提供的函数WSAJoinLeaf()函数，专门负责多播组的加入，它与基层协议无关。
3.广播：一对多的关系。与多播不同之处在于，广播把数据包的COPY发给网络中所有用户，而此时有的用户是不需要这个数据包的，这将造成带宽上一浪费，适用于无链接协议。广播无法通过路由器，组播没有这个限制，只要加入组就可以收到数据包，可以融合了单播与广播的优点。

OSI是Open System Interconnection 的缩写，意为开放式系统互联参考模型。在OSI出现之前，计算机网络中存在众多的体系结构，其中以IBM公司的SNA(系统网络体系结构)和DEC公司的DNA(Digital Network Architecture)数字网络体系结构最为著名。为了解决不同体系结构的网络的互联问题，国际标准化组织ISO(注意不要与OSI搞混）于1981年制定了开放系统互连参考模型（Open System Interconnection Reference Model，OSI/RM）。这个模型把网络通信的工作分为7层,它们由低到高分别是物理层（Physical Layer),数据链路层（Data Link Layer),网络层(Network Layer),传输层（Transport Layer),会话层（Session Layer），表示层（Presen tation Layer)和应用层（Application Layer)。第一层到第三层属于OSI参考模型的低三层，负责创建网络通信连接的链路；第四层到第七层为OSI参考模型的高四层，具体负责端到端的数据通信。每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持，而网络通信则可以自上而下（在发送端）或者自下而上（在接收端）双向进行。当然并不是每一通信都需要经过OSI的全部七层，有的甚至只需要双方对应的某一层即可。物理接口之间的转接，以及中继器与中继器之间的连接就只需在物理层中进行即可；而路由器与路由器之间的连接则只需经过网络层以下的三层即可。总的来说，双方的通信是在对等层次上进行的，不能在不对称层次上进行通信。
OSI 标准制定过程中采用的方法是将整个庞大而复杂的问题划分为若干个容易处理的小问题，这就是分层的体系结构办法。在OSI中，采用了三级抽象，既体系结构，服务定义，协议规格说明。