对于刚接触 SVI 的用户来说，这通常是一个令人困惑的话题，因为它的工作方式似乎有点反直觉。大多数人倾向于将 SVI 视为某种“网关”，离开 VLAN 的流量应该是出站的，反之亦然。

然而，它实际上以相反的方式工作，因为 SVI 是一个虚拟路由器接口。将 SVI 视为连接到 VLAN 的物理路由器上的物理接口会有所帮助。从该路由器的角度来看，从 VLAN 到达接口 (SVI) 的流量是入站的。从该接口的角度来看，从网络其余部分到 VLAN 的流量将流出（或流出）。

以以下 SVI 为例：

interface Vlan10
 ip address 10.1.1.1 255.255.255.0
 ip access-group VLAN10_IN in
 ip access-group VLAN10_OUT out

现在，假设我想阻止任何带有欺骗性 IP 地址的流量离开此 VLAN。我的访问列表可能如下所示。请注意，虽然此流量从 VLAN 出站，但它是入站到接口，因此是入站 ACL。

Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
    10 permit ip 10.1.1.0 0.0.0.255 any
    20 deny ip any any

如果我想限制对该 VLAN 的访问，以便阻止具有 192.168.1.0/24 地址的设备但允许所有其他 192.168.0.0/16 地址，则 ACL 将如下所示：

Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
    10 deny ip 192.168.1.0 0.0.0.255 any
    20 permit ip 192.168.0.0 0.0.255.255 any
    30 deny ip any any

请注意：这些不是完整的工作访问列表；它们仅用作示例。虽然它们可能在某些环境中工作，但如果您尝试使用它可能会产生问题。例如，如果 DHCP 服务器位于不同的 VLAN 上，它将不允许 DHCP 等流量。

一个离别信，这似乎很明显，但我以前见过绊倒人。如果 SVI 有多个关联的子网，您需要确保您的 ACL 考虑到这一点，因为在这些子网之间传递的流量将由 ACL 处理，即使它位于 VLAN 内。

只要您保持 SVI 是一个接口的概念，这应该很容易实现。

将 vlan 中的所有端口视为一个端口，它们之间的流量永远不会到达 vlan-L3 接口。

只有在 vlan 之间流动的流量才会到达 vlan-32 ACL。

因此，从 vlan-X 到 vlan-32-host 的流量将被 vlan-32 ACL 视为出站。

来自 vlan32 中的主机的流量在其他地方到达 GW 时将进入。

把自己想象成路由器。“In”是您收到的流量；“out”是您传输的流量。

ip access-group foo in适用于接口接收的流量。... out适用于接口上正在传输的流量。

vlan32有一个虚拟的vlan接口，所有来自vlan32的流量需要出去这个vlan都会把流量发送到vlan32的虚拟接口，从虚拟接口的角度来看，这些流量都是IN

来自vlan 40等其他vlan的流量需要去vlan32，需要使用vlan32的接口作为中继，这些流量会离开vlan32的虚拟接口去vlan32，所以这些流量从vlan32的接口来看，它们是OUT