Listas de acceso y VLAN y comprensión del flujo de tráfico

7

Tengo una pregunta de que me está costando mucho pensarlo y creo que es posible que me discutas.

Cuando se aplica una lista de acceso a una interfaz VLAN (VLAN 32) en un conmutador L3, para los clientes que se encuentran en la subred VLAN 32, ¿se ve que entran en la VLAN 32 en el camino a ser enrutados, o sale el tráfico (saliendo ) la interfaz VLAN 32? ¿Qué pasa con el tráfico proveniente de otra VLAN?

Estoy tratando de resolver esto con el propósito de decidir aplicar una lista de acceso al tráfico "entrante" o "saliente" en la interfaz VLAN 32.

cisco vlan acl cisco-ios-12 cisco-ios-15 skrap3e
fuente

Respuestas:

5

Este es a menudo un tema confuso para los usuarios nuevos en SVI, ya que parece funcionar de forma intuitiva. La mayoría de las personas tienden a ver el SVI como una especie de "puerta de enlace" y ese tráfico que sale de la VLAN debe ser saliente y viceversa.

Sin embargo, en realidad funciona de manera opuesta porque el SVI es una interfaz de enrutador virtual. Puede ayudar pensar en el SVI como una interfaz física en un enrutador físico conectado a la VLAN. Desde la perspectiva de este enrutador, el tráfico que llega a la interfaz (SVI) desde la VLAN es entrante. El tráfico del resto de la red a la VLAN saldría (o saldría) desde la perspectiva de esta interfaz.

Como ejemplo, tome por ejemplo el siguiente SVI:

interface Vlan10
 ip address 10.1.1.1 255.255.255.0
 ip access-group VLAN10_IN in
 ip access-group VLAN10_OUT out

Ahora, digamos que quiero evitar que el tráfico con direcciones IP falsas salga de esta VLAN. Mi lista de acceso puede parecerse a la siguiente. Tenga en cuenta que aunque este tráfico es saliente desde la VLAN, es entrante a la interfaz y, como tal, es una ACL entrante.

Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
    10 permit ip 10.1.1.0 0.0.0.255 any
    20 deny ip any any

Si deseo limitar el acceso a esta VLAN para que los dispositivos con direcciones 192.168.1.0/24 estén bloqueados pero todas las demás direcciones 192.168.0.0/16 estén permitidas, la ACL se vería así:

Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
    10 deny ip 192.168.1.0 0.0.0.255 any
    20 permit ip 192.168.0.0 0.0.255.255 any
    30 deny ip any any

Tenga en cuenta : Estas no son listas de acceso de trabajo completas; son solo a modo de ejemplo. Si bien pueden funcionar en ciertos entornos, puede crear problemas si intenta usarlo. Por ejemplo, no permitirá el tráfico como DHCP si el servidor DHCP está en una VLAN diferente.

Una nota de despedida, que puede parecer obvia, pero he visto a personas tropezar antes. Si el SVI tiene varias subredes asociadas, debe asegurarse de que sus ACL tengan esto en cuenta ya que el tráfico que pasa entre estas subredes será procesado por la ACL aunque permanezca dentro de la VLAN.

Mientras mantenga el concepto de que el SVI es una interfaz, esto debería ser fácil de lograr.

YLearn
fuente
1
Gracias por una respuesta detallada y comprensible con ejemplos. Estoy aceptando esto como la respuesta correcta porque está más completamente formado como respuesta.
skrap3e
4

Piense en todos los puertos en el vlan como un puerto, el tráfico entre ellos nunca llega a la interfaz vlan-L3.

Solo el tráfico que fluye entre vlan golpeó el vlan-32 ACL.

Por lo tanto, el tráfico de vlan-X a vlan-32-host será visto como saliente por la ACL vlan-32.

Y el tráfico de un host en vlan32, que golpea el GW en su camino en otro lugar, será entrante.

Pieter
fuente
Esto es lo que estaba buscando, muchas gracias!
skrap3e
La primera oración de esta respuesta solo es correcta si solo tiene una subred asignada a la VLAN / SVI. Si hay un rango de IP secundario, el tráfico entre las subredes mientras permanece dentro de la VLAN seguirá atravesando el SVI.
YLearn
@Ylearn ¿Consideraría que es una implementación "no estándar"? En mi experiencia, varias subredes en la misma VLAN es más un caso marginal (o una reparación de curita) que un caso común.
Eddie
Depende del entorno, pero estoy de acuerdo en que definitivamente es minoritario y la mayoría de las implementaciones tienden a usar una relación VLAN a subred de 1: 1. Si ese es el caso o no, no hace que mi comentario sea menos cierto.
YLearn
0

Imagínese como el enrutador. "En" es el tráfico que recibe; "fuera" es el tráfico que transmite.

ip access-group foo inse aplica al tráfico recibido en una interfaz. ... outse aplica al tráfico que se transmite en una interfaz.

Ricky Beam
fuente
Sí, lo entiendo, pero en este contexto, el tráfico que proviene de la subred de la VLAN 32, en el conmutador de capa 3 donde se enruta el tráfico, se considera que el tráfico entra o sale de la VLAN. ¿Qué pasa con el tráfico que viene de la VLAN 10 a la VLAN 32 y viceversa? Agregaré otro detalle a mi pregunta que podría aclarar la respuesta.
skrap3e
@lasersauce, solo entra o sale de un dispositivo físico. Nunca pienses en entrar o salir de una VLAN.
Ron Maupin
1
Pero la ACL se puede aplicar a la interfaz VLAN (interfaz virtual sí) como IN o OUT. ¿Seguramente hay una diferencia allí? Gracias de antemano, esto realmente ha sido un obstáculo mental para mí hoy.
skrap3e
@lasersauce, la ACL se aplica a una interfaz de enrutador (una interfaz VLAN es una interfaz de enrutador, aunque sea una interfaz virtual, pero sigue siendo una interfaz de enrutador), y la entrada o salida es SIEMPRE desde la perspectiva del enrutador. Esto es algo que mucha gente tiene dificultades para entender. Nunca, nunca, piense en ello desde otra cosa que no sea la perspectiva del enrutador. Imagina que eres el enrutador y piensa en inhalar y exhalar. Tu respiración es desde tu perspectiva, no desde la perspectiva de la atmósfera, el globo, la paja o cualquier otra cosa desde la que estés respirando.
Ron Maupin
si la entrada o salida es o no desde la perspectiva del enrutador, estoy preguntando desde la perspectiva de la vlan misma. el tráfico en la subred 32 que se enruta fuera del vlan 32 hacia otra subred o desde otra subred en ese mismo L3 cambia al vlan 32. en esos casos, cómo se ve el tráfico, respectivamente. el ACL se establece para ya sea en o fuera
skrap3e
0

vlan32 tiene una interfaz virtual vlan, todo el tráfico que se origina en vlan32 debe salir de este vlan enviará tráfico a la interfaz virtual de vlan32, desde la perspectiva de la interfaz virtual, este tráfico está ENTRADO

el tráfico que se origina en otro vlan como vlan 40 y necesita ir a vlan32, necesitará usar la interfaz de vlan32 como un relé, este tráfico saldrá de la interfaz virtual de vlan32 para ir a vlan32, por lo que este tráfico desde la perspectiva de la interfaz de vlan32, están FUERA

cwang
fuente