Geralmente, esse é um tópico confuso para usuários iniciantes em SVIs, pois parece funcionar um pouco contra intuitivamente. A maioria das pessoas tem a tendência de ver o SVI como uma espécie de "gateway" e esse tráfego que sai da VLAN deve ser de saída e vice-versa.
No entanto, ele realmente funciona da maneira oposta, porque o SVI é uma interface de roteador virtual. Pode ajudar pensar no SVI como uma interface física em um roteador físico conectado à VLAN. Da perspectiva deste roteador, o tráfego que chega na interface (o SVI) da VLAN é de entrada. O tráfego do restante da rede para a VLAN sairia (ou sairia) da perspectiva dessa interface.
Como exemplo, considere, por exemplo, o seguinte SVI:
interface Vlan10
ip address 10.1.1.1 255.255.255.0
ip access-group VLAN10_IN in
ip access-group VLAN10_OUT out
Agora, digamos que eu queira impedir que qualquer tráfego com endereços IP falsificados saia desta VLAN. Minha lista de acesso pode se parecer com a abaixo. Observe que, embora esse tráfego seja de saída da VLAN, ele é de entrada para a interface e, como tal, é uma ACL de entrada.
Sw6500#sh ip access-lists VLAN10_IN
Extended IP access list VLAN10_IN
10 permit ip 10.1.1.0 0.0.0.255 any
20 deny ip any any
Se eu quiser limitar o acesso a esta VLAN para que os dispositivos com endereços 192.168.1.0/24 sejam bloqueados, mas todos os outros endereços 192.168.0.0/16 sejam permitidos, a ACL se parecerá com isso:
Sw6500#sh ip access-lists VLAN10_OUT
Extended IP access list VLAN10_OUT
10 deny ip 192.168.1.0 0.0.0.255 any
20 permit ip 192.168.0.0 0.0.255.255 any
30 deny ip any any
Observação : estas não são uma lista de acesso de trabalho completa; eles são feitos apenas como exemplos. Embora eles possam funcionar em determinados ambientes, isso pode criar problemas se você tentar usá-lo. Por exemplo, ele não permitirá tráfego como DHCP se o servidor DHCP estiver em uma VLAN diferente.
Uma nota de despedida, que pode parecer óbvio, mas eu já vi pessoas tropeçarem antes. Se o SVI tiver várias sub-redes associadas, é necessário garantir que suas ACLs levem isso em consideração, pois o tráfego que passa entre essas sub-redes será processado pela ACL, mesmo que permaneça na VLAN.
Contanto que você mantenha o conceito de que o SVI é uma interface, isso deve ser fácil de realizar.