Đây thường là một chủ đề khó hiểu đối với người dùng mới sử dụng SVI vì nó dường như hoạt động hơi ngược với trực giác. Hầu hết mọi người có xu hướng xem SVI như một loại "cổng" nào đó và lưu lượng truy cập rời khỏi Vlan nên được đưa ra ngoài và ngược lại.
Tuy nhiên, nó thực sự hoạt động theo cách ngược lại vì SVI là giao diện bộ định tuyến ảo. Nó có thể giúp nghĩ về SVI như một giao diện vật lý trên bộ định tuyến vật lý được kết nối với Vlan. Từ quan điểm của bộ định tuyến này, lưu lượng truy cập đến trên giao diện (SVI) từ Vlan được gửi đến. Lưu lượng truy cập từ phần còn lại của mạng đến Vlan sẽ được chuyển ra (hoặc hướng ra ngoài) từ phối cảnh của giao diện này.
Ví dụ, lấy ví dụ về SVI sau:
interface Vlan10
ip address 10.1.1.1 255.255.255.0
ip access-group VLAN10_IN in
ip access-group VLAN10_OUT out
Bây giờ, giả sử tôi muốn ngăn chặn bất kỳ lưu lượng truy cập nào có địa chỉ IP giả mạo rời khỏi Vlan này. Danh sách truy cập của tôi có thể trông giống như dưới đây. Lưu ý rằng trong khi lưu lượng truy cập này được gửi đi từ Vlan, thì nó được gửi đến giao diện và như vậy là một ACL gửi đến.
Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
10 permit ip 10.1.1.0 0.0.0.255 any
20 deny ip any any
Nếu tôi muốn giới hạn quyền truy cập vào Vlan này để các thiết bị có địa chỉ 192.168.1.0/24 bị chặn nhưng tất cả các địa chỉ 192.168.0.0/16 khác đều được cho phép, ACL sẽ trông giống như thế này:
Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
10 deny ip 192.168.1.0 0.0.0.255 any
20 permit ip 192.168.0.0 0.0.255.255 any
30 deny ip any any
Xin lưu ý : Đây không phải là một danh sách truy cập làm việc hoàn chỉnh; chúng chỉ có ý nghĩa như là ví dụ. Mặc dù chúng có thể hoạt động trong một số môi trường nhất định, nhưng nó có thể tạo ra vấn đề nếu bạn cố gắng sử dụng nó. Chẳng hạn, nó sẽ không cho phép lưu lượng như DHCP nếu máy chủ DHCP ở trên một Vlan khác.
Một lưu ý chia tay, điều đó có vẻ rõ ràng nhưng tôi đã thấy những người đi lên trước đó. Nếu SVI có nhiều mạng con được liên kết với nó, bạn cần đảm bảo rằng các ACL của bạn tính đến điều này vì lưu lượng đi qua giữa các mạng con này sẽ được ACL xử lý ngay cả khi nó vẫn nằm trong Vlan.
Miễn là bạn giữ khái niệm rằng SVI là một giao diện, điều này sẽ dễ thực hiện.