Listas de acesso e VLAN e compreensão do fluxo de tráfego

7

Tenho uma dúvida de que estou tendo muita dificuldade para pensar, e acho que você poderá me afastar.

Ao aplicar uma lista de acesso a uma interface VLAN (VLAN 32) em um switch L3, para clientes que estão na sub-rede VLAN 32, eles são vistos como entrando na VLAN 32 a caminho do roteamento ou o tráfego está saindo (saindo ) a interface da VLAN 32? E o tráfego proveniente de outra VLAN?

Estou tentando resolver isso com a finalidade de decidir aplicar uma lista de acesso ao tráfego "de entrada" ou "de saída" na interface da VLAN 32.

skrap3e
fonte

Respostas:

5

Geralmente, esse é um tópico confuso para usuários iniciantes em SVIs, pois parece funcionar um pouco contra intuitivamente. A maioria das pessoas tem a tendência de ver o SVI como uma espécie de "gateway" e esse tráfego que sai da VLAN deve ser de saída e vice-versa.

No entanto, ele realmente funciona da maneira oposta, porque o SVI é uma interface de roteador virtual. Pode ajudar pensar no SVI como uma interface física em um roteador físico conectado à VLAN. Da perspectiva deste roteador, o tráfego que chega na interface (o SVI) da VLAN é de entrada. O tráfego do restante da rede para a VLAN sairia (ou sairia) da perspectiva dessa interface.

Como exemplo, considere, por exemplo, o seguinte SVI:

interface Vlan10
 ip address 10.1.1.1 255.255.255.0
 ip access-group VLAN10_IN in
 ip access-group VLAN10_OUT out

Agora, digamos que eu queira impedir que qualquer tráfego com endereços IP falsificados saia desta VLAN. Minha lista de acesso pode se parecer com a abaixo. Observe que, embora esse tráfego seja de saída da VLAN, ele é de entrada para a interface e, como tal, é uma ACL de entrada.

Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
    10 permit ip 10.1.1.0 0.0.0.255 any
    20 deny ip any any

Se eu quiser limitar o acesso a esta VLAN para que os dispositivos com endereços 192.168.1.0/24 sejam bloqueados, mas todos os outros endereços 192.168.0.0/16 sejam permitidos, a ACL se parecerá com isso:

Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
    10 deny ip 192.168.1.0 0.0.0.255 any
    20 permit ip 192.168.0.0 0.0.255.255 any
    30 deny ip any any

Observação : estas não são uma lista de acesso de trabalho completa; eles são feitos apenas como exemplos. Embora eles possam funcionar em determinados ambientes, isso pode criar problemas se você tentar usá-lo. Por exemplo, ele não permitirá tráfego como DHCP se o servidor DHCP estiver em uma VLAN diferente.


Uma nota de despedida, que pode parecer óbvio, mas eu já vi pessoas tropeçarem antes. Se o SVI tiver várias sub-redes associadas, é necessário garantir que suas ACLs levem isso em consideração, pois o tráfego que passa entre essas sub-redes será processado pela ACL, mesmo que permaneça na VLAN.

Contanto que você mantenha o conceito de que o SVI é uma interface, isso deve ser fácil de realizar.

YLearn
fonte
11
Obrigado por uma resposta bem explicada e compreensível, com exemplos. Estou aceitando isso como a resposta correta, porque é mais completamente formada como uma resposta.
Skrap3e
4

Pense em todas as portas da vlan como sendo uma porta, o tráfego entre elas nunca atinge a interface vlan-L3.

Somente o tráfego que flui entre as vlan atinge a ACL vlan-32.

Assim, o tráfego da vlan-X para a vlan-32-host será visto como de saída pela ACL da vlan-32.

E o tráfego de um host na vlan32, que atinge o GW em seu caminho para outro lugar, será recebido.

Pieter
fonte
Era isso que eu estava procurando, muito obrigado!
Skrap3e
A primeira frase desta resposta está correta apenas se você tiver apenas uma única sub-rede atribuída à VLAN / SVI. Se houver um intervalo de IP secundário, o tráfego entre as sub-redes enquanto permanecer na VLAN ainda atravessará o SVI.
YLearn
@Ylearn Você considera uma implantação "não padrão"? Na minha experiência, várias sub-redes na mesma VLAN são mais um caso marginal (ou correção de band-aid) do que um caso comum.
Eddie
Depende do ambiente, mas eu concordaria que é definitivamente uma minoria e a maioria das implantações costuma usar uma proporção de VLAN para sub-rede de 1: 1. Se é esse o caso ou não, isso não torna o meu comentário menos verdadeiro.
YLearn
0

Imagine-se como o roteador. "In" é o tráfego que você recebe; "fora" é o tráfego que você transmite.

ip access-group foo inaplica-se ao tráfego recebido em uma interface. ... outaplica-se ao tráfego transmitido em uma interface.

Ricky Beam
fonte
Sim, entendi, mas, neste contexto, o tráfego proveniente da sub-rede VLAN 32, no Switch de camada 3 onde o tráfego está sendo roteado, é o tráfego considerado "entrando" ou "saindo" da VLAN. E o tráfego vindo da VLAN 10 para a VLAN 32 e vice-versa. Acrescentarei outro detalhe à minha pergunta que poderá esclarecer melhor a resposta.
Skrap3e
@lasersauce, você entra ou sai apenas de um dispositivo físico. Nunca pense em entrar ou sair de uma VLAN.
Ron Maupin
11
Mas a ACL pode ser aplicada à interface da VLAN (interface virtual sim) como IN ou OUT. Certamente há uma diferença lá? Agradecemos antecipadamente, este foi realmente um obstáculo para mim mentalmente hoje.
Skrap3e
@lasersauce, a ACL é aplicada a uma interface de roteador (uma interface de VLAN é uma interface de roteador, embora uma interface virtual, mas ainda seja uma interface de roteador), e a entrada ou saída é SEMPRE da perspectiva do roteador. Isso é algo que muitas pessoas têm dificuldade em entender. Nunca, jamais, pense nisso a partir de algo que não seja a perspectiva do próprio roteador. Finja que você é o roteador e pense em inspirar e expirar. Sua respiração é da sua perspectiva, não da perspectiva da atmosfera, balão, palha ou qualquer outra coisa que você esteja respirando.
Ron Maupin
se a entrada ou saída é ou não da perspectiva do roteador, estou perguntando da perspectiva da própria vlan. tráfego na sub-rede 32 sendo roteada da vlan 32 para outra sub-rede ou de outra sub-rede no mesmo switch L3 para a vlan 32. nesses casos, como o tráfego está sendo visto, respectivamente. o ACL está definido para qualquer em ou fora
skrap3e
0

A vlan32 possui uma interface virtual de vlan, todo o tráfego originário da vlan32 precisa sair dessa vlan enviará tráfego para a interface virtual da vlan32, da perspectiva da interface virtual, esse tráfego está IN

tráfego originário de outra vlan como a vlan 40 e precisar ir para a vlan32, precisará usar a interface da vlan32 como retransmissão; esse tráfego sairá da interface virtual da vlan32 para ir para a vlan32; portanto, esse tráfego da perspectiva da interface da vlan32 será

cwang
fonte