请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 506|回复: 3

【原创】SVI上ACL的入方向/出方向(inbound/outbound)

[复制链接]
发表于 2020-9-7 10:39:19 | 显示全部楼层 |阅读模式
本帖最后由 hakxu 于 2020-9-7 11:03 编辑

SVI和ACL的内容应该是属于NA的知识,但是最近在工作中发现有的小伙伴对于SVI上ACL的入方向和出方向还是会搞混,发个帖子分享一下:
先上结论,后做详解:

1.  进入SVI = 对于目的MAC地址为SVI的MAC地址的流量,一般可以理解为是in方向;
2.  离开SVI = 对于源MAC地址为SVI的MAC地址的流量,一般可以理解为是out方向;

网络场景中可能主要分为以下两种情况:

1. 主机到直连SVI:

    拓扑:    host  ---  access port(vlan 999) --- SVI999

这种场景下由host发往其它网段的流量,下一跳地址为SVI地址(网关),所以封装的目的MAC地址是SVI的MAC地址,因此可以在SVI的in方向做ACL限制。

2. 多个SVI的情况:

  拓扑: svi999(10.0.0.1) --- trunk --- trunk --- svi999(10.0.0.2)

这种场景下当数据需要以10.0.0.1的SVI为源访问10.0.0.2时,数据包源MAC地址为10.0.0.1对应SVI的MAC地址,因此可以在该SVI的out方向上限制到目的地址的访问。

大家如果有疑问或者更好的方法,欢迎提出来分享~

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (5 评价)
发表于 2020-9-8 09:49:35 | 显示全部楼层
不错的知识点.
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2020-9-8 16:26:53 | 显示全部楼层
可以可以,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2020-9-10 09:30:50 | 显示全部楼层
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-9-28 13:03 , Processed in 0.090735 second(s), 36 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表