在三层交换机上，可以支持IP ACL同时也可以支持MAC ACL也就是ethernet ACL。IP ACL只能过滤IP流量，而MAC ACL可以过滤非IP流量。

根据ACL的应用不同，可以分为port acl、router acl、vlan acl(vlan map)。

port acl

任何一个ACL应用到接口上就称为port acl，port acl是应用在二层接口上的，不能应用在etherchannel上，但只能应用在接口的In方向上，而且接口上只能应用一个acl。

当多种ACL同时使用时，port acl优先级高于任何ACL。

sw1(config)#mac access-list extend cisco

sw1(config-ext-macl)#deny host 0001.0001.0001 host 0002.0002.0002

sw1(config-ext-macl)#permit any any

sw1(config)interface f0/0

sw1(config-if)#mac access-group cisco in

上述例子表示在接口f0/0中拒绝0001.0001.0001到达0002.0002.0002的流量

在实际应用中，上面的ACL也可以换成IP ACL

router acl
将ACL应用到三层接口上就称为router acl，只能在接口上应用IP ACL，可以应用在In或者out方向上，一个接口上的一个方向只能应用一个ACL。

vlan acl

当应用vlan acl后，无论二层还是三层转发的流量，在进入和离开vlan时都会被过滤掉，所以说vlan acl是不能定义方向的。

vlan acl根据调用的acl来匹配流量，决定是转发还是丢弃流量，默认情况下，对于匹配到的流量，默认为转发，但可收修改为丢弃；对于没有匹配的流量，默认情况下是丢弃所有的流量。

vlan acl配置实例：

在上述拓扑中，要求配置vlan acl，实现R4到R1的流量采取默认动作，R4到R2的流量采取丢弃动作

1、在SW1上分别定义流量

access-list 100 permit ip host 10.1.1.4 host 10.1.1.1

access-list 100 permit ip host 10.1.1.1 host 10.1.1.4

access-list 200 permit ip host 10.1.1.4 host 10.1.1.2

access-list 200 permit ip host 10.1.1.2 host 10.1.1.4

因为vlan acl在应用时是没有方向的，所以定义流量时一定要双向流量都要定义

2、利用vlan map来匹配IP ACL

vlan access-group cisco 10

match ip addrss 100

exit

vlan access-group cisco 20

match ip address 200

exit

3、在vlan 1 上应用ACL

vlan filter cisco vlan-list 1

总结：

1、接口上可以同时应用IP ACL和MAC ACL

2、port acl支持所有类型的ACL，包括标准和扩展IP ACL、MAC ACL

3、router acl可以应用在SVI接口、三层接口、三层etherchannel，每个接口的每个方向只能应用一条ACL

4、在配置IP ACL时，可以使用数字，也可以使用名字；使用名字的好处是方便修改每一条ACL

5、交换机上不支持dynamic acl和reflexive acl

6、vlan acl的方向是不能定义的，在配置vlan acl时，一定要考虑双向的流量

7、一个vlan acl可以应用在多个vlan上，但一个vlan上只能应用一条vlan acl

8、被ACL拒绝的ICMP流量，将向源发送ICMP-unreachable