回答:
これは、SVIを初めて使用するユーザーにとって、直感的に少し機能すると思われるため、しばしば混乱するトピックです。ほとんどの人は、SVIをある種の「ゲートウェイ」と見なす傾向があり、VLANを出るトラフィックは発信であり、その逆も同様です。
ただし、SVIは仮想ルーターインターフェイスであるため、実際には逆の動作をします。これは、SVIをVLANに接続された物理ルーター上の物理インターフェイスと考えると役立ちます。このルーターから見ると、VLANからインターフェース(SVI)に到着するトラフィックはインバウンドです。ネットワークの残りの部分からVLANへのトラフィックは、このインターフェースの観点から発信(または発信)されます。
例として、次のSVIを例にとります。
interface Vlan10
ip address 10.1.1.1 255.255.255.0
ip access-group VLAN10_IN in
ip access-group VLAN10_OUT out
ここで、IPアドレスが偽装されたトラフィックがこのVLANを離れないようにしたいとします。アクセスリストは次のようになります。このトラフィックはVLANから送信されますが、インターフェースへの受信であるため、受信ACLです。
Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
10 permit ip 10.1.1.0 0.0.0.255 any
20 deny ip any any
このVLANへのアクセスを制限して、192.168.1.0 / 24アドレスのデバイスはブロックするが、他のすべての192.168.0.0/16アドレスは許可する場合、ACLは次のようになります。
Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
10 deny ip 192.168.1.0 0.0.0.255 any
20 permit ip 192.168.0.0 0.0.255.255 any
30 deny ip any any
注意:これらは完全に機能するアクセスリストではありません。それらは例としてのみ意図されています。特定の環境では機能する場合がありますが、使用しようとすると問題が発生する可能性があります。たとえば、DHCPサーバーが別のVLAN上にある場合、DHCPなどのトラフィックは許可されません。
それは明白に思えるかもしれませんが、私は以前に人々を旅行するのを見たことがあります。SVIに複数のサブネットが関連付けられている場合、これらのサブネット間を通過するトラフィックはVLAN内にある場合でもACLによって処理されるため、ACLでこれを考慮する必要があります。
SVIがインターフェイスであるという概念を維持している限り、これは簡単に実現できます。
VLAN内のすべてのポートを1つのポートと考えてください。それらの間のトラフィックがVLAN-L3インターフェイスに到達することはありません。
VLAN間を流れるトラフィックのみがVLAN-32 ACLにヒットします。
したがって、vlan-Xからvlan-32-hostへのトラフィックは、vlan-32 ACLによってアウトバウンドとして認識されます。
そして、vlan32内のホストからのトラフィックは、GWにヒットし、他のどこかでインバウンドします。
自分をルーターとして想像してみてください。「イン」はあなたが受け取るトラフィックです。「アウト」は、送信するトラフィックです。
ip access-group foo inインターフェイスで受信したトラフィックに適用されます。インターフェイス... outで送信されるトラフィックに適用されます。
vlan32には仮想vlanインターフェースがあり、vlan32から発信されるすべてのトラフィックはこのvlanから出る必要があるため、vlan32の仮想インターフェースにトラフィックを送信します。仮想インターフェースの観点から、これらのトラフィックはINです
vlan 40のような他のvlanから発信され、vlan32に行く必要があるトラフィックは、vlan32のインターフェースをリレーとして使用する必要があります。これらのトラフィックは、vlan32の仮想インターフェースから出てvlan32に行くため、これらのトラフィックはvlan32のインターフェースの観点から出て、OUTになります。