به صورت ساده، مسیریابی ترافیک به شرح زیر انجام میشود:
Host X -> vlan X -> interface vlan X -> поиск маршрута в LPM -> interface vlan Y -> vlan Y -> Host Y
Host X -> vlan X -> interface vlan X -> поиск маршрута в LPM -> interface vlan Y -> vlan Y -> Host Y
در سوئیچهای MES، میتوان یک ACL را به اینترفیس VLAN (SVI) در جهت ورودی اختصاص داد.
ممکن است برخی به اشتباه فرض کنند که طبق این طرح، میتوان یک ACL را به اینترفیس vlan Y اختصاص داد و به این ترتیب ترافیک مقصد شبکه Y را فیلتر کرد. اما
ترافیک تنها یک بار—در هنگام ورود به پورت سوئیچ (که در این مورد متعلق به VLAN
X است)—تحت قوانین ACL قرار میگیرد.
بنابراین، اگر یک ACL را به یک اینترفیس vlan اختصاص دهید، تنها باید قوانینی را برای اینترفیس vlan ورودی تنظیم کنید.
بیایید یک مثال
از نحوه عملکرد ACL زمانی که چندین اینترفیس VLAN در یک سوئیچ وجود دارد و لازم است
ترافیک بین میزبانها در این VLANها طبق سناریو زیر محدود شود، بررسی
کنیم:
1) هیچ محدودیتی بین میزبانها در یک شبکه نباید وجود داشته باشد؛
2) اجازه عبور ترافیک بین شبکههای 1.1.1.0/24 و 2.2.2.0/24؛
3) اجازه عبور ترافیک از شبکههای 1.1.1.0 - 3.3.3.0 به شبکه 5.0.0.0/8؛
4) اجازه عبور ترافیک از میزبان XXX254 از هر شبکه (به جز 5.0.0.0/8) در تمام جهات؛
5) اجازه عبور ترافیک از شبکه 5.0.0.0/8 به شبکههای دیگر، در صورتی که این ترافیک برای جلسات TCP برقرار شده (مشابه آنچه در سیسکو برقرار شده است) باشد، به جز میزبان XXX254 - هیچ محدودیتی برای آن وجود ندارد.
6) رد کردن تمام ترافیکهای دیگر.
در این صورت،
مثالهای ACL
برای اینترفیس vlanهای مورد نیاز به شرح زیر خواهند بود:
ip access-list extended acl_vlan1
permit ip any any 1.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip any any 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip any any 1.1.1.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 1.1.1.254 0.0.0.0 any
ip access-list extended acl_vlan2
permit ip any any 2.2.2.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip any any 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip any any 2.2.2.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 2.2.2.254 0.0.0.0 any
ip access-list extended acl_vlan3
permit ip any any 3.3.3.0 0.0.0.255 3.3.3.0 0.0.0.255
permit ip any any 3.3.3.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 3.3.3.254 0.0.0.0 any
ip access-list extended acl_vlan5
permit ip any any 5.0.0.0 0.255.255.255 1.1.1.254 0.0.0.0
permit ip any any 5.0.0.0 0.255.255.255 2.2.2.254 0.0.0.0
permit ip any any 5.0.0.0 0.255.255.255 3.3.3.254 0.0.0.0
permit tcp 5.0.0.0 0.255.255.255 any any any match-all +rst
permit tcp 5.0.0.0 0.255.255.255 any any any match-all +ack
ip access-list extended acl_vlan1
permit ip any any 1.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip any any 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip any any 1.1.1.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 1.1.1.254 0.0.0.0 any
ip access-list extended acl_vlan2
permit ip any any 2.2.2.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip any any 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip any any 2.2.2.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 2.2.2.254 0.0.0.0 any
ip access-list extended acl_vlan3
permit ip any any 3.3.3.0 0.0.0.255 3.3.3.0 0.0.0.255
permit ip any any 3.3.3.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 3.3.3.254 0.0.0.0 any
ip access-list extended acl_vlan5
permit ip any any 5.0.0.0 0.255.255.255 1.1.1.254 0.0.0.0
permit ip any any 5.0.0.0 0.255.255.255 2.2.2.254 0.0.0.0
permit ip any any 5.0.0.0 0.255.255.255 3.3.3.254 0.0.0.0
permit tcp 5.0.0.0 0.255.255.255 any any any match-all +rst
permit tcp 5.0.0.0 0.255.255.255 any any any match-all +ack