Zugriffslisten und VLAN und Verständnis des Verkehrsflusses

7

Ich habe eine Frage, bei der es mir sehr schwer fällt, mich zu beschäftigen, und ich denke, Sie könnten mich vielleicht aus dem Weg räumen.

Wenn Sie eine Zugriffsliste auf eine VLAN-Schnittstelle (VLAN 32) in einem L3-Switch anwenden, werden Clients, die sich im VLAN 32-Subnetz befinden, auf dem Weg zum Routing als in VLAN 32 eingehend angesehen oder kommt der Datenverkehr heraus (wird beendet) ) die VLAN 32-Schnittstelle? Was ist mit Datenverkehr aus einem anderen VLAN?

Ich versuche dies zu klären, um zu entscheiden, ob eine Zugriffsliste auf "In" - oder "Out" -Verkehr für die VLAN 32-Schnittstelle angewendet werden soll.

cisco vlan acl cisco-ios-12 cisco-ios-15 skrap3e
quelle

Antworten:

5

Dies ist oft ein verwirrendes Thema für Benutzer, die SVIs noch nicht kennen, da es intuitiv etwas gegenläufig zu funktionieren scheint. Die meisten Menschen neigen dazu, die SVI als eine Art "Gateway" zu betrachten, und der Verkehr, der das VLAN verlässt, sollte ausgehend sein und umgekehrt.

Es funktioniert jedoch umgekehrt, da die SVI eine virtuelle Router-Schnittstelle ist. Es kann hilfreich sein, sich die SVI als physische Schnittstelle auf einem physischen Router vorzustellen, der mit dem VLAN verbunden ist. Aus Sicht dieses Routers ist der vom VLAN auf die Schnittstelle (SVI) eingehende Datenverkehr eingehend. Der Datenverkehr vom Rest des Netzwerks zum VLAN würde aus Sicht dieser Schnittstelle ausgehen (oder ausgehen).

Nehmen Sie als Beispiel beispielsweise die folgende SVI:

interface Vlan10
 ip address 10.1.1.1 255.255.255.0
 ip access-group VLAN10_IN in
 ip access-group VLAN10_OUT out

Angenommen, ich möchte verhindern, dass Datenverkehr mit gefälschten IP-Adressen dieses VLAN verlässt. Meine Zugriffsliste sieht möglicherweise wie folgt aus. Beachten Sie, dass dieser Datenverkehr zwar aus dem VLAN ausgeht, jedoch an die Schnittstelle eingeht und als solcher eine eingehende ACL ist.

Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
    10 permit ip 10.1.1.0 0.0.0.255 any
    20 deny ip any any

Wenn ich den Zugriff auf dieses VLAN beschränken möchte, damit Geräte mit Adressen 192.168.1.0/24 blockiert werden, aber alle anderen Adressen 192.168.0.0/16 zulässig sind, sieht die ACL ungefähr so ​​aus:

Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
    10 deny ip 192.168.1.0 0.0.0.255 any
    20 permit ip 192.168.0.0 0.0.255.255 any
    30 deny ip any any

Bitte beachten Sie : Dies sind keine vollständigen Arbeitszugriffslisten. Sie sind nur als Beispiele gedacht. Während sie in bestimmten Umgebungen funktionieren, kann es zu Problemen kommen, wenn Sie versuchen, sie zu verwenden. Beispielsweise wird kein Datenverkehr wie DHCP zugelassen, wenn sich der DHCP-Server in einem anderen VLAN befindet.

Eine Abschiedsnotiz, die offensichtlich erscheinen mag, aber ich habe schon einmal Trip-Leute gesehen. Wenn der SVI mehrere Subnetze zugeordnet sind, müssen Sie sicherstellen, dass Ihre ACLs dies berücksichtigen, da der zwischen diesen Subnetzen übertragene Datenverkehr von der ACL verarbeitet wird, obwohl er im VLAN verbleibt.

Solange Sie das Konzept beibehalten, dass die SVI eine Schnittstelle ist, sollte dies leicht zu erreichen sein.

YLearn
quelle
1
Vielen Dank für eine gründlich erläuterte und verständliche Antwort mit Beispielen. Ich akzeptiere dies als die richtige Antwort, weil es als Antwort vollständiger formuliert ist.
Skrap3e
4

Stellen Sie sich alle Ports im VLAN als einen Port vor. Der Datenverkehr zwischen ihnen trifft niemals auf die VLAN-L3-Schnittstelle.

Nur der zwischen den VLANs fließende Datenverkehr trifft die vlan-32-ACL.

Daher wird der Datenverkehr von vlan-X zu vlan-32-host von der vlan-32-ACL als ausgehend angesehen.

Und der Datenverkehr von einem Host in vlan32, der das GW auf seinem Weg an einen anderen Ort trifft, wird eingehen.

Pieter
quelle
Das habe ich gesucht, vielen Dank!
skrap3e
Der erste Satz in dieser Antwort ist nur dann richtig, wenn dem VLAN / SVI nur ein einziges Subnetz zugewiesen ist. Wenn es einen sekundären IP-Bereich gibt, durchläuft der Datenverkehr zwischen den Subnetzen, während er sich im VLAN befindet, weiterhin die SVI.
YLearn
@Ylearn Würden Sie das als "nicht standardmäßige" Bereitstellung betrachten? Nach meiner Erfahrung sind mehrere Subnetze im selben VLAN eher ein Randfall (oder ein Band-Aid-Fix) als ein häufiger Fall.
Eddie
Hängt von der Umgebung ab, aber ich würde zustimmen, dass dies definitiv in der Minderheit liegt und die Mehrheit der Bereitstellungen ein Verhältnis von VLAN zu Subnetz von 1: 1 verwendet. Ob dies der Fall ist oder nicht, macht meinen Kommentar nicht weniger wahr.
YLearn
0

Stellen Sie sich als Router vor. "In" ist Verkehr, den Sie erhalten; "out" ist der von Ihnen übertragene Verkehr.

ip access-group foo ingilt für Datenverkehr, der auf einer Schnittstelle empfangen wird. ... outgilt für Datenverkehr, der auf einer Schnittstelle übertragen wird.

Ricky Beam
quelle
Ja, das verstehe ich, aber in diesem Zusammenhang wird der Datenverkehr, der vom VLAN 32-Subnetz auf dem Layer 3-Switch kommt, auf dem der Datenverkehr weitergeleitet wird, als "Ein-" oder "Aus" des VLANs betrachtet. Was ist mit dem Datenverkehr von VLAN 10 in VLAN 32 und umgekehrt? Ich werde meiner Frage ein weiteres Detail hinzufügen, das die Beantwortung möglicherweise klarer macht.
skrap3e
@lasersauce, Sie kommen nur in oder aus einem physischen Gerät. Denken Sie niemals an ein oder aus einem VLAN.
Ron Maupin
1
Die ACL kann jedoch als IN oder OUT auf die VLAN-Schnittstelle (virtuelle Schnittstelle ja) angewendet werden. Sicher gibt es da einen Unterschied? Vielen Dank im Voraus, das war heute mental wirklich eine Straßensperre für mich.
skrap3e
@lasersauce, die ACL wird auf eine Router-Schnittstelle angewendet (eine VLAN-Schnittstelle ist eine Router-Schnittstelle, wenn auch eine virtuelle Schnittstelle, aber immer noch eine Router-Schnittstelle), und der Ein- oder Ausgang erfolgt IMMER aus der Sicht des Routers. Dies ist etwas, was vielen Menschen schwer fällt, ihre Köpfe herumzuwickeln. Denken Sie niemals an etwas anderes als an die Perspektive des Routers. Stellen Sie sich vor, Sie sind der Router, und denken Sie an das Ein- und Ausatmen. Ihr Atem ist aus Ihrer Perspektive, nicht aus der Perspektive der Atmosphäre, des Ballons, des Strohhalms oder was auch immer Sie von und nach atmen.
Ron Maupin
ob das in oder out aus der routerperspektive ist oder nicht, frage ich aus der perspektive des vlan selbst. Der Verkehr auf dem Subnetz 32 wird von VLAN 32 in ein anderes Subnetz oder von einem anderen Subnetz auf demselben L3-Switch in VLAN 32 geleitet. In diesen Fällen wird der Verkehr jeweils gesehen. Die ACL ist entweder für In oder Out eingestellt
skrap3e
0

vlan32 verfügt über eine virtuelle vlan-Schnittstelle. Der gesamte von vlan32 stammende Datenverkehr, der von diesem vlan ausgehen muss, sendet Datenverkehr an die virtuelle Schnittstelle von vlan32. Aus Sicht der virtuellen Schnittstelle sind diese Datenverkehr IN

Datenverkehr, der von einem anderen VLAN wie VLAN 40 stammt und zu VLAN32 gehen muss, muss die Schnittstelle von VLAN32 als Relay verwenden. Dieser Datenverkehr wird von der virtuellen Schnittstelle von VLAN32 zu VLAN32 geleitet, sodass dieser Datenverkehr aus der Schnittstellenperspektive von VLAN32 OUT ist

cwang
quelle