Skip to main content

Access-list at SVI

SVI (Switch Virtual Interfaces)

We use the SVI for inter vlan routing. In this scenario I will configure the access list with SVI.
In this scenario I want to permit vlan 10 network to vlan 50 Server farm. Vlan 10 and vlan 20 can communicate each other.
First create vlan and then interface vlan#.

Switch(config)#vlan 10
Switch(config)#interface vlan 10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config)#vlan 20
Switch(config)#interface vlan 20
Switch(config-if)#ip address 192.168.20.254 255.255.255.0

Switch(config)#vlan 50
Switch(config)#interface vlan 50
Switch(config-if)#ip address 192.168.50.254 255.255.255.0

when we finish the vlan interface create make sure the switch port are belong to each vlan.
Port to vlan assign configure is
Switch(config)#interface g0/1
Switch(config-if)#switchport access vlan 10

Switch(config)#interface g0/2
Switch(config-if)#switchport access vlan 20

Switch(config)#interface g0/3
Switch(config-if)#switchport access vlan 50

If you don't assign switch port to vlan your SVI will show as:

config)#show ip interface brief
Interface              IP-Address          OK?   Method   Status                Protocol
Vlan10                 192.168.10.254  YES   manual   up                     down

so make sure you have assign you switchport to vlan. And then now we have route the vlan each other.
I want to define vlan 50 only allow to communicate vlan 10. So let move with access list.

Define the access list
Switch(config)#access-list 1 permit 192.168.10.0 0.0.0.255
Switch(config)#access-list 1 deny any


Apply the access rule to SVI. By the way we need to know how SVI traffic flows work. Actually it same as the physical interface.


So let configure the access list to SVI.


Switch(config)#int vlan 50

Switch(config-if)#ip access-group 1 out

we can verify with #sh access-list

Now we can test connection from vlan 10 and 20 to vlan 50.

Thank you.




Labels:

Comments

Post a Comment

Popular posts from this blog

How to setup AWS VPC Peering (VPC to VPC)

    Hi Everyone... ဒီကနေ့တော့ VPC Peering လုပ်တဲ့ အကြောင်းလေးပြောပြပေးသွားမှာပါ။ VPC peering ဘာလို့လုပ်တာလဲ ဘယ်အချိန်တွေမှာသုံးတာလဲဆိုတာကို ကြည့်ရအောင်... သိတဲ့ အတိုင်း ပဲ AWS networking မှာ VPC ကမပါမဖြစ်အရေးပါပါတယ် AWS account တခုရဲ့ AWS region တခုမှာ VPC 5ခုအများဆုံး ထားလို့ရပါတယ်... AZ မဟုတ်ပါဘူး အဲ့ဒါလေးတော့သတိထားရမှာပါ.. peering က one to one ဖြစ်တဲ့အတွက် VPC များလာရင်တော့ configuation complex ဖြစ်လာပါမယ်၊ နောက်တခုကတခြား AWS account တွေရဲ့ VPC နဲ့ချိတ်ဆက်သုံးချင်တာတွေလဲရှိနိုင်ပါတယ် အဲ့လို VPC တွေများလာမယ်ဆိုရင်တော့ Transit Gateway ကိုသုံးတာက ပိုစိတ်ချမ်းသာရပါတယ်။ VPC နည်းသေးတယ် နောင်လဲတိုးလာဖို့ မရှိသေးဘူးဆိုရင်တော့ အခုနည်းလမ်းက ပိုအဆင်ပြေပါတယ်. ဆိုတော့ Pubilc VPC နဲ့ Private VPC ဆိုပြီးရှိတယ်ဆိုပါစို့ Pubilc VPC ထဲက webserver က Private VPC ထဲ က database ကိုလှမ်းသုံးချင်တယ်ဆိုရင် အဲ့ဒီ VPC တွေကို peering လုပ်ပေးဖို့လိုပါတယ်.. Peering လုပ်မယ်ဆိုရင်တော့ VPC ထဲက peering connections ကိုရွေးရပါမယ်. ပြီးရင်တော့ Create peering connections ကို click ပါ၊ ဒီ box ကျလာရင်တော့ ...
Post a Comment
Read more

BGP Disable Connected Check and EBGP Multi Hop

Figure 1.1 In this scenario I use OSPF for TCP reachability. We can see the difference 'disable connected' check and 'EBGP multihop'. We can use both for EBGP neighbor connection with loopback address. Disable connected check This command used to disable the connection verification process for ebgp. Use for ebgp neighbor are directly connected and they using the loopback address for peering. It not increment TTL but neighbor must reachable at single hop. EBGP multihop This command can use for ebgp neighbor are not directly connected. It increment TTL. R1 router bgp 100  neighbor 2.2.2.2 remote-as 200  neighbor 2.2.2.2 disable-connected-check  neighbor 2.2.2.2 update-source Loopback0  neighbor 3.3.3.3 remote-as 300  neighbor 3.3.3.3 ebgp-multihop 2  neighbor 3.3.3.3 update-source Loopback0 R2 router bgp 200  neighbor 1.1.1.1 remote-as 100  neighbor 1.1.1.1 disable-connected-check  neighbor 1.1.1.1 update...
Post a Comment
Read more