Este es a menudo un tema confuso para los usuarios nuevos en SVI, ya que parece funcionar de forma intuitiva. La mayoría de las personas tienden a ver el SVI como una especie de "puerta de enlace" y ese tráfico que sale de la VLAN debe ser saliente y viceversa.
Sin embargo, en realidad funciona de manera opuesta porque el SVI es una interfaz de enrutador virtual. Puede ayudar pensar en el SVI como una interfaz física en un enrutador físico conectado a la VLAN. Desde la perspectiva de este enrutador, el tráfico que llega a la interfaz (SVI) desde la VLAN es entrante. El tráfico del resto de la red a la VLAN saldría (o saldría) desde la perspectiva de esta interfaz.
Como ejemplo, tome por ejemplo el siguiente SVI:
interface Vlan10
ip address 10.1.1.1 255.255.255.0
ip access-group VLAN10_IN in
ip access-group VLAN10_OUT out
Ahora, digamos que quiero evitar que el tráfico con direcciones IP falsas salga de esta VLAN. Mi lista de acceso puede parecerse a la siguiente. Tenga en cuenta que aunque este tráfico es saliente desde la VLAN, es entrante a la interfaz y, como tal, es una ACL entrante.
Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
10 permit ip 10.1.1.0 0.0.0.255 any
20 deny ip any any
Si deseo limitar el acceso a esta VLAN para que los dispositivos con direcciones 192.168.1.0/24 estén bloqueados pero todas las demás direcciones 192.168.0.0/16 estén permitidas, la ACL se vería así:
Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
10 deny ip 192.168.1.0 0.0.0.255 any
20 permit ip 192.168.0.0 0.0.255.255 any
30 deny ip any any
Tenga en cuenta : Estas no son listas de acceso de trabajo completas; son solo a modo de ejemplo. Si bien pueden funcionar en ciertos entornos, puede crear problemas si intenta usarlo. Por ejemplo, no permitirá el tráfico como DHCP si el servidor DHCP está en una VLAN diferente.
Una nota de despedida, que puede parecer obvia, pero he visto a personas tropezar antes. Si el SVI tiene varias subredes asociadas, debe asegurarse de que sus ACL tengan esto en cuenta ya que el tráfico que pasa entre estas subredes será procesado por la ACL aunque permanezca dentro de la VLAN.
Mientras mantenga el concepto de que el SVI es una interfaz, esto debería ser fácil de lograr.