网络工程 - SVI 上的 ACL 何时在 Cisco Catalyst 设备上应用？ - 吾爱随笔录

SVI 上的 ACL 何时在 Cisco Catalyst 设备上应用？

网络工程局域网思科-ios 顺式催化剂 acl

2022-02-15 11:56:11

我不明白在 SVI 上何时应用 ACL。给定以下（伪）配置

int vlan 100
  ip address 10.0.0.1 255.255.255.0
  ip access-list in in
  ip access-list out out
int gig 1/2
  switchport access vlan 100
int gig 1/3
  switchport access vlan 100
ip access-list extended in
  deny ip any any
ip access-list extended out
  deny ip any any

端口 1/2 上的 IP 为 10.0.0.2 的设备和端口 1/3 上的 IP 为 10.0.0.3 的设备可以相互通信吗？

1/2 和 1/3 上的设备能否与 10.0.0.1 的 SVI 通信？

SVI 的“进/出”界限具体在哪里？

2个回答

如果 SVI 路由数据包，则该数据包的 TTL 将在转发时减少。换句话说，您可以将 SVI 视为 traceroute 中的一个跃点。

正如 Ron Maupin 所解释的，同一 VLAN 上的主机之间的第 2 层交换流量并非如此。

如果您希望示例中的 ACL 处理 Giga1/2 和 Giga1/3 上的主机之间的流量，您可以考虑使用第 2 层 ACL（在某些设备上可用；不是全部）或配置允许更复杂隔离的专用 VLAN共享第 2 层域的设备。

实际上 access -list 已配置并应用于交换机虚拟接口以限制或允许 VLAN 之间的流量。

Access-list 主要用于和配置隔离相同 VLAN 上的流量，并根据业务需求允许不同 Vlan 上的流量，反之亦然

其它你可能感兴趣的问题

上一篇如何保护 pfSense 登录页面？下一篇Cisco 2960x：添加新电缆以在交换机通电的情况下完成“环”——安全吗？