В упрощённом виде маршрутизация трафика выполняется следующим образом:Host X -> vlan X -> interface vlan X -> поиск маршрута в FIB LPM -> interface vlan Y -> vlan Y -> Host Y
На коммутаторах MES возможно назначить ACL для interface VLAN (SVI) на направлении input. Можно ошибочно предположить, что согласно этой схемы возможно назначить ACL на interface vlan Y и таким образом фильтровать трафик, предназначенный для сети Y. Однако трафик подпадает под правила ACL только один раз - при поступлении на вход порта коммутатора, в данном случае на порт в vlan X.
...
В этом случае примеры ACL для требуемых interface vlan будут следующими:
ip access-list extended acl_vlan1permit ip any any 1.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255permit ip any any 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255permit ip any any 1.1.1.0 0.0.0.255 5.0.0.0 0.255.255.255permit ip any any 1.1.1.254 0.0.0.0 any
ip access-list extended acl_vlan2permit ip any any 2.2.2.0 0.0.0.255 2.2.2.0 0.0.0.255permit ip any any 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255permit ip any any 2.2.2.0 0.0.0.255 5.0.0.0 0.255.255.255permit ip any any 2.2.2.254 0.0.0.0 any
ip access-list extended acl_vlan3permit ip any any 3.3.3.0 0.0.0.255 3.3.3.0 0.0.0.255permit ip any any 3.3.3.0 0.0.0.255 5.0.0.0 0.255.255.255permit ip any any 3.3.3.254 0.0.0.0 any
ip access-list extended acl_vlan5permit ip any any 5.0.0.0 0.255.255.255 1.1.1.254 0.0.0.0permit ip any any 5.0.0.0 0.255.255.255 2.2.2.254 0.0.0.0permit ip any any 5.0.0.0 0.255.255.255 3.3.3.254 0.0.0.0permit tcp 5.0.0.0 0.255.255.255 any any any match-all +rstpermit tcp 5.0.0.0 0.255.255.255 any any any match-all +ack