Danh sách truy cập và Vlan và hiểu lưu lượng truy cập


7

Tôi có một câu hỏi rằng tôi đang có một thời gian rất khó khăn trong tâm trí của tôi, và tôi nghĩ rằng bạn có thể có thể vuông tôi đi.

Khi áp dụng danh sách truy cập vào giao diện Vlan (Vlan 32) trong bộ chuyển đổi L3, đối với các máy khách trong mạng con Vlan 32, chúng được xem là sắp vào Vlan 32 trên đường được định tuyến hoặc lưu lượng truy cập sắp ra (thoát ) giao diện Vlan 32? Điều gì về lưu lượng truy cập đến từ một Vlan khác?

Tôi đang cố gắng sắp xếp điều này cho mục đích quyết định áp dụng danh sách truy cập vào lưu lượng truy cập "vào" hoặc "ra" đối với giao diện Vlan 32.

Câu trả lời:


5

Đây thường là một chủ đề khó hiểu đối với người dùng mới sử dụng SVI vì nó dường như hoạt động hơi ngược với trực giác. Hầu hết mọi người có xu hướng xem SVI như một loại "cổng" nào đó và lưu lượng truy cập rời khỏi Vlan nên được đưa ra ngoài và ngược lại.

Tuy nhiên, nó thực sự hoạt động theo cách ngược lại vì SVI là giao diện bộ định tuyến ảo. Nó có thể giúp nghĩ về SVI như một giao diện vật lý trên bộ định tuyến vật lý được kết nối với Vlan. Từ quan điểm của bộ định tuyến này, lưu lượng truy cập đến trên giao diện (SVI) từ Vlan được gửi đến. Lưu lượng truy cập từ phần còn lại của mạng đến Vlan sẽ được chuyển ra (hoặc hướng ra ngoài) từ phối cảnh của giao diện này.

Ví dụ, lấy ví dụ về SVI sau:

interface Vlan10
 ip address 10.1.1.1 255.255.255.0
 ip access-group VLAN10_IN in
 ip access-group VLAN10_OUT out

Bây giờ, giả sử tôi muốn ngăn chặn bất kỳ lưu lượng truy cập nào có địa chỉ IP giả mạo rời khỏi Vlan này. Danh sách truy cập của tôi có thể trông giống như dưới đây. Lưu ý rằng trong khi lưu lượng truy cập này được gửi đi từ Vlan, thì nó được gửi đến giao diện và như vậy là một ACL gửi đến.

Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
    10 permit ip 10.1.1.0 0.0.0.255 any
    20 deny ip any any

Nếu tôi muốn giới hạn quyền truy cập vào Vlan này để các thiết bị có địa chỉ 192.168.1.0/24 bị chặn nhưng tất cả các địa chỉ 192.168.0.0/16 khác đều được cho phép, ACL sẽ trông giống như thế này:

Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
    10 deny ip 192.168.1.0 0.0.0.255 any
    20 permit ip 192.168.0.0 0.0.255.255 any
    30 deny ip any any

Xin lưu ý : Đây không phải là một danh sách truy cập làm việc hoàn chỉnh; chúng chỉ có ý nghĩa như là ví dụ. Mặc dù chúng có thể hoạt động trong một số môi trường nhất định, nhưng nó có thể tạo ra vấn đề nếu bạn cố gắng sử dụng nó. Chẳng hạn, nó sẽ không cho phép lưu lượng như DHCP nếu máy chủ DHCP ở trên một Vlan khác.


Một lưu ý chia tay, điều đó có vẻ rõ ràng nhưng tôi đã thấy những người đi lên trước đó. Nếu SVI có nhiều mạng con được liên kết với nó, bạn cần đảm bảo rằng các ACL của bạn tính đến điều này vì lưu lượng đi qua giữa các mạng con này sẽ được ACL xử lý ngay cả khi nó vẫn nằm trong Vlan.

Miễn là bạn giữ khái niệm rằng SVI là một giao diện, điều này sẽ dễ thực hiện.


1
Cảm ơn bạn đã giải thích cặn kẽ và dễ hiểu với các ví dụ. Tôi chấp nhận đây là câu trả lời chính xác vì nó được hình thành đầy đủ hơn như một câu trả lời.
skrap3e

4

Hãy nghĩ về tất cả các cổng trong vlan là một cổng, lưu lượng giữa chúng không bao giờ chạm vào giao diện vlan-L3.

Chỉ có lưu lượng giao thông giữa các vlan chạm vào vlan-32 ACL.

Do đó, lưu lượng truy cập từ vlan-X đến vlan-32-host sẽ được xem là vlan-32 ACL.

Và lưu lượng truy cập từ một máy chủ lưu trữ trong vlan32, sẽ chạm vào GW trên đường đi, nơi khác sẽ được gửi đến.


Đây là những gì tôi đang tìm kiếm, cảm ơn bạn rất nhiều!
skrap3e 14/07/2015

Câu đầu tiên trong câu trả lời này chỉ đúng nếu bạn chỉ có một mạng con duy nhất được gán cho Vlan / SVI. Nếu có một dải IP thứ cấp, thì lưu lượng giữa các mạng con trong khi vẫn ở trong Vlan sẽ vẫn đi qua SVI.
YLearn

@Ylearn Bạn có nghĩ rằng việc triển khai "không chuẩn" không? Theo kinh nghiệm của tôi, nhiều mạng con trên cùng một Vlan giống như một trường hợp bên lề (hoặc sửa lỗi hỗ trợ băng tần) hơn là một trường hợp phổ biến.
Eddie

Phụ thuộc vào môi trường, nhưng tôi đồng ý rằng nó chắc chắn thuộc thiểu số và phần lớn các triển khai có xu hướng sử dụng tỷ lệ Vlan trên mạng con là 1: 1. Có hay không đó là trường hợp mặc dù không làm cho nhận xét của tôi ít đúng hơn.
YLearn

0

Hãy tưởng tượng mình là bộ định tuyến. "Trong" là lưu lượng truy cập bạn nhận được; "ra" là lưu lượng truy cập bạn truyền tải.

ip access-group foo ináp dụng cho lưu lượng nhận được trên một giao diện. ... outáp dụng cho lưu lượng được truyền trên một giao diện.


vâng tôi hiểu điều đó, nhưng trong bối cảnh này, lưu lượng truy cập đến từ mạng con Vlan 32, tại Chuyển mạch lớp 3 nơi lưu lượng đang được định tuyến, là lưu lượng được xem là đi "vào" hoặc "ra" Vlan. Điều gì về lưu lượng truy cập đến từ Vlan 10 vào Vlan 32 và ngược lại. Tôi sẽ thêm một chi tiết khác vào câu hỏi của tôi để có thể trả lời rõ ràng hơn.
skrap3e

@lasersauce, bạn chỉ vào hoặc ra từ một thiết bị vật lý. Không bao giờ nghĩ về hoặc ra khỏi Vlan.
Ron Maupin

1
Nhưng ACL có thể được áp dụng cho giao diện Vlan (giao diện ảo có) dưới dạng IN hoặc OUT. Chắc chắn có một sự khác biệt ở đó? Cảm ơn trước, điều này thực sự là một rào cản đối với tôi về mặt tinh thần ngày hôm nay.
skrap3e

@lasersauce, ACL được áp dụng cho giao diện bộ định tuyến (giao diện Vlan là giao diện bộ định tuyến, mặc dù giao diện ảo, nhưng vẫn là giao diện bộ định tuyến) và vào hoặc ra là LUÔN LUÔN theo quan điểm của bộ định tuyến. Đây là một cái gì đó nhiều người có một thời gian khó khăn bao quanh đầu của họ. Không bao giờ, bao giờ, nghĩ về nó từ bất cứ điều gì ngoại trừ quan điểm của chính bộ định tuyến. Giả vờ bạn là bộ định tuyến và suy nghĩ về việc hít vào và thở ra. Hơi thở của bạn là từ góc nhìn của bạn, không phải là viễn cảnh của bầu khí quyển, bóng bay, rơm, hoặc bất cứ thứ gì bạn đang thở từ và đến.
Ron Maupin

có hay không việc vào hay ra là từ phối cảnh bộ định tuyến mà tôi đang hỏi từ góc độ của chính vlan. lưu lượng truy cập trên mạng con 32 được chuyển từ vlan 32 sang một mạng con khác hoặc từ một mạng con khác trên cùng L3 chuyển sang vlan 32. trong những trường hợp đó , lưu lượng truy cập được nhìn thấy tương ứng. ACL được đặt cho cả trong hoặc ngoài
skrap3e 14/07/2015

0

vlan32 có giao diện vlan ảo, tất cả lưu lượng truy cập bắt nguồn từ vlan32 cần phải đi ra khỏi vlan này sẽ gửi lưu lượng đến giao diện ảo của vlan32, từ phối cảnh giao diện ảo, các lưu lượng này là IN

lưu lượng truy cập bắt nguồn từ vlan khác như vlan 40 và cần truy cập vlan32, sẽ cần sử dụng giao diện của vlan32 làm chuyển tiếp, các lưu lượng này sẽ đi ra khỏi giao diện ảo của vlan32 để đi đến vlan32, vì vậy các lưu lượng này từ phối cảnh giao diện của vlan32

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.