Geralmente, esse é um tópico confuso para usuários iniciantes em SVIs, pois parece funcionar um pouco contra intuitivamente. A maioria das pessoas tem a tendência de ver o SVI como uma espécie de "gateway" e esse tráfego que sai da VLAN deve ser de saída e vice-versa.
No entanto, ele realmente funciona da maneira oposta, porque o SVI é uma interface de roteador virtual. Pode ajudar pensar no SVI como uma interface física em um roteador físico conectado à VLAN. Da perspectiva deste roteador, o tráfego que chega na interface (o SVI) da VLAN é de entrada. O tráfego do restante da rede para a VLAN sairia (ou sairia) da perspectiva dessa interface.
Como exemplo, considere, por exemplo, o seguinte SVI:
interface Vlan10
ip address 10.1.1.1 255.255.255.0
ip access-group VLAN10_IN in
ip access-group VLAN10_OUT out
Agora, digamos que eu queira impedir que qualquer tráfego com endereços IP falsificados saia desta VLAN. Minha lista de acesso pode se parecer com a abaixo. Observe que, embora esse tráfego seja de saída da VLAN, ele é de entrada para a interface e, como tal, é uma ACL de entrada.
Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
10 permit ip 10.1.1.0 0.0.0.255 any
20 deny ip any any
Se eu quiser limitar o acesso a esta VLAN para que os dispositivos com endereços 192.168.1.0/24 sejam bloqueados, mas todos os outros endereços 192.168.0.0/16 sejam permitidos, a ACL se parecerá com isso:
Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
10 deny ip 192.168.1.0 0.0.0.255 any
20 permit ip 192.168.0.0 0.0.255.255 any
30 deny ip any any
Observação : estas não são uma lista de acesso de trabalho completa; eles são feitos apenas como exemplos. Embora eles possam funcionar em determinados ambientes, isso pode criar problemas se você tentar usá-lo. Por exemplo, ele não permitirá tráfego como DHCP se o servidor DHCP estiver em uma VLAN diferente.
Uma nota de despedida, que pode parecer óbvio, mas eu já vi pessoas tropeçarem antes. Se o SVI tiver várias sub-redes associadas, é necessário garantir que suas ACLs levem isso em consideração, pois o tráfego que passa entre essas sub-redes será processado pela ACL, mesmo que permaneça na VLAN.
Contanto que você mantenha o conceito de que o SVI é uma interface, isso deve ser fácil de realizar.
Pense em todas as portas da vlan como sendo uma porta, o tráfego entre elas nunca atinge a interface vlan-L3.
Somente o tráfego que flui entre as vlan atinge a ACL vlan-32.
Assim, o tráfego da vlan-X para a vlan-32-host será visto como de saída pela ACL da vlan-32.
E o tráfego de um host na vlan32, que atinge o GW em seu caminho para outro lugar, será recebido.
fonte
Imagine-se como o roteador. "In" é o tráfego que você recebe; "fora" é o tráfego que você transmite.
ip access-group foo in
aplica-se ao tráfego recebido em uma interface.... out
aplica-se ao tráfego transmitido em uma interface.fonte
A vlan32 possui uma interface virtual de vlan, todo o tráfego originário da vlan32 precisa sair dessa vlan enviará tráfego para a interface virtual da vlan32, da perspectiva da interface virtual, esse tráfego está IN
tráfego originário de outra vlan como a vlan 40 e precisar ir para a vlan32, precisará usar a interface da vlan32 como retransmissão; esse tráfego sairá da interface virtual da vlan32 para ir para a vlan32; portanto, esse tráfego da perspectiva da interface da vlan32 será
fonte