Question

请教 ：交换机访问控制问题（ACL）Vlan间的访问限制

头一次用交换机的访问控制，有3个VLAN，地址分别Vlan3:192.168.3.X;vlan6:192.168.6.X;valn7:192.168.7.X;
我需要vlan3和vlan6不能访问7，但vlan7可以访问3和6，另外Vlan3不能访问6，vlan 6可以访问vlan 3
我做了如何配置 禁止3的地址访问6和7，禁止6和3的地址访问7（无任可效果!)：
acl number 3006
rule 0 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.6.0 0.0.0.255
acl number 3007
rule 0 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.7.0 0.0.0.255
rule 1 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.7.0 0.0.0.255

traffic-filter inbound vlan 6 acl 3006 //vlan 6的入站 禁止vlan 3的地址访问
traffic-filter inbound vlan 7 acl 3007 //vlan 7的入站 禁止vlan 3，vlan 6的地址访问
但是没有任何效果，vlan 3和vlan 6仍然可以访问vlan 7,vlan 3也可以访问vlan 6,是我理解错误嘛，请教下应该如何写这个访问控制，华为交换机。谢谢！
又试了一下，我把这个策略应用到端口下面：
interface gigabitethernet0/0/32 :traffic-filter inboun acl 3007

这个就可以起作用，如果非要一个个应用到端口，那不是相当麻烦且不智能？

Answer 1

你这属于单向通讯了，需要用到自反ACL，就是类似防火墙功能。 可以让vlan7主动访问vlan 3和6；此时vlan3和6的返程包可以通过！ 而vlan3、6不能主动发起对vlan7的访问！
这需要用自反ACL来实现！
_____________
比如，你的第二条vlan 7入站，不允许vlan3\6的访问。当vlan7发起对vlan3\6通讯后，vlan3\6的返程包需要从入站进来，该语句拒绝了3,6返程包的进入！ 所以vlan7主动发起的回程包也被拒绝掉了！

追问

知道原因了，刚反复测试，比如我要禁止6到7的访问：
rule 0 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.7.0 0.0.0.255
这个策略要应用到6上面，而不是7上面，看来不是到了7那边在判断了。
不管如何，还是很谢谢你。