Danh sách truy cập và Vlan và hiểu lưu lượng truy cập

Tôi có một câu hỏi rằng tôi đang có một thời gian rất khó khăn trong tâm trí của tôi, và tôi nghĩ rằng bạn có thể có thể vuông tôi đi.

Khi áp dụng danh sách truy cập vào giao diện Vlan (Vlan 32) trong bộ chuyển đổi L3, đối với các máy khách trong mạng con Vlan 32, chúng được xem là sắp vào Vlan 32 trên đường được định tuyến hoặc lưu lượng truy cập sắp ra (thoát ) giao diện Vlan 32? Điều gì về lưu lượng truy cập đến từ một Vlan khác?

Tôi đang cố gắng sắp xếp điều này cho mục đích quyết định áp dụng danh sách truy cập vào lưu lượng truy cập "vào" hoặc "ra" đối với giao diện Vlan 32.

Đây thường là một chủ đề khó hiểu đối với người dùng mới sử dụng SVI vì nó dường như hoạt động hơi ngược với trực giác. Hầu hết mọi người có xu hướng xem SVI như một loại "cổng" nào đó và lưu lượng truy cập rời khỏi Vlan nên được đưa ra ngoài và ngược lại.

Tuy nhiên, nó thực sự hoạt động theo cách ngược lại vì SVI là giao diện bộ định tuyến ảo. Nó có thể giúp nghĩ về SVI như một giao diện vật lý trên bộ định tuyến vật lý được kết nối với Vlan. Từ quan điểm của bộ định tuyến này, lưu lượng truy cập đến trên giao diện (SVI) từ Vlan được gửi đến. Lưu lượng truy cập từ phần còn lại của mạng đến Vlan sẽ được chuyển ra (hoặc hướng ra ngoài) từ phối cảnh của giao diện này.

Ví dụ, lấy ví dụ về SVI sau:

interface Vlan10
 ip address 10.1.1.1 255.255.255.0
 ip access-group VLAN10_IN in
 ip access-group VLAN10_OUT out

Bây giờ, giả sử tôi muốn ngăn chặn bất kỳ lưu lượng truy cập nào có địa chỉ IP giả mạo rời khỏi Vlan này. Danh sách truy cập của tôi có thể trông giống như dưới đây. Lưu ý rằng trong khi lưu lượng truy cập này được gửi đi từ Vlan, thì nó được gửi đến giao diện và như vậy là một ACL gửi đến.

Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
    10 permit ip 10.1.1.0 0.0.0.255 any
    20 deny ip any any

Nếu tôi muốn giới hạn quyền truy cập vào Vlan này để các thiết bị có địa chỉ 192.168.1.0/24 bị chặn nhưng tất cả các địa chỉ 192.168.0.0/16 khác đều được cho phép, ACL sẽ trông giống như thế này:

Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
    10 deny ip 192.168.1.0 0.0.0.255 any
    20 permit ip 192.168.0.0 0.0.255.255 any
    30 deny ip any any

Xin lưu ý : Đây không phải là một danh sách truy cập làm việc hoàn chỉnh; chúng chỉ có ý nghĩa như là ví dụ. Mặc dù chúng có thể hoạt động trong một số môi trường nhất định, nhưng nó có thể tạo ra vấn đề nếu bạn cố gắng sử dụng nó. Chẳng hạn, nó sẽ không cho phép lưu lượng như DHCP nếu máy chủ DHCP ở trên một Vlan khác.

Một lưu ý chia tay, điều đó có vẻ rõ ràng nhưng tôi đã thấy những người đi lên trước đó. Nếu SVI có nhiều mạng con được liên kết với nó, bạn cần đảm bảo rằng các ACL của bạn tính đến điều này vì lưu lượng đi qua giữa các mạng con này sẽ được ACL xử lý ngay cả khi nó vẫn nằm trong Vlan.

Miễn là bạn giữ khái niệm rằng SVI là một giao diện, điều này sẽ dễ thực hiện.

Hãy nghĩ về tất cả các cổng trong vlan là một cổng, lưu lượng giữa chúng không bao giờ chạm vào giao diện vlan-L3.

Chỉ có lưu lượng giao thông giữa các vlan chạm vào vlan-32 ACL.

Do đó, lưu lượng truy cập từ vlan-X đến vlan-32-host sẽ được xem là vlan-32 ACL.

Và lưu lượng truy cập từ một máy chủ lưu trữ trong vlan32, sẽ chạm vào GW trên đường đi, nơi khác sẽ được gửi đến.

Hãy tưởng tượng mình là bộ định tuyến. "Trong" là lưu lượng truy cập bạn nhận được; "ra" là lưu lượng truy cập bạn truyền tải.

ip access-group foo ináp dụng cho lưu lượng nhận được trên một giao diện. ... outáp dụng cho lưu lượng được truyền trên một giao diện.

vlan32 có giao diện vlan ảo, tất cả lưu lượng truy cập bắt nguồn từ vlan32 cần phải đi ra khỏi vlan này sẽ gửi lưu lượng đến giao diện ảo của vlan32, từ phối cảnh giao diện ảo, các lưu lượng này là IN

lưu lượng truy cập bắt nguồn từ vlan khác như vlan 40 và cần truy cập vlan32, sẽ cần sử dụng giao diện của vlan32 làm chuyển tiếp, các lưu lượng này sẽ đi ra khỏi giao diện ảo của vlan32 để đi đến vlan32, vì vậy các lưu lượng này từ phối cảnh giao diện của vlan32