我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

    VACL很少用到，在配置时要注意以下几点：

    1)  最后一条隐藏规则是deny ip any any，与ACL相同。
    2)  VACL没有inbound和outbound之分，区别于ACL。
    3)  若ACL列表中是permit，而VACL中为drop，则数据流执行drop。
    4)  VACL规则应用在NAT之前。
    5)  一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。
    6)  VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

    下面，我以Cisco3550交换机作为实例来详细描述一下两者之间不同的实现方式。

    网络基本情况是划分了三个vlan：vlan10、vlan20和vlan30，vlan虚端口的IP地址分别为192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。

    访问控制要求：vlan10和vlan20之间不能访问，但都能访问vlan30。