В упрощённом виде маршрутизация трафика выполняется следующим образом:Host X -> vlan X -> interface vlan X -> поиск маршрута в LPM -> interface vlan Y -> vlan Y -> Host Y
На коммутаторах MES возможно назначить ACL для interface VLAN (SVI) на направлении input. Можно ошибочно предположить, что согласно этой схемы возможно назначить ACL на interface vlan Y и таким образом фильтровать трафик, предназначенный для сети Y. Однако трафик подпадает под правила ACL только один раз - при поступлении на вход порта коммутатора, в данном случае на порт в vlan X.
Таким образом, в случае назначения ACL на interface vlan требуется настраивать правила только для входящих interface vlan.
Рассмотрим пример работы ACL, когда на коммутаторе есть несколько interface vlan и требуется ограничивать передачу трафика между хостами в этих VLAN по следующему сценарию:
1) Между хостами в одной сети не должно быть ограничений;
2) Разрешить трафик между сетями 1.1.1.0/24 и 2.2.2.0/24;
3) Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0 в сеть 5.0.0.0/8;
4) Разрешить трафик от хоста X.X.X.254 из каждой сети (кроме 5.0.0.0/8) во все направления;
5) Разрешить трафик из сети 5.0.0.0/8 до остальных сетей, если это трафик для установленный TCP-сессий (аналог established в Cisco), кроме хоста X.X.X.254 - для него без ограничений.
6) Весь остальной трафик запретить.
В этом случае примеры ACL для требуемых interface vlan будут следующими:
ip access-list extended acl_vlan1permit ip any any 1.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255permit ip any any 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255permit ip any any 1.1.1.0 0.0.0.255 5.0.0.0 0.255.255.255permit ip any any 1.1.1.254 0.0.0.0 any
ip access-list extended acl_vlan2permit ip any any 2.2.2.0 0.0.0.255 2.2.2.0 0.0.0.255permit ip any any 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255permit ip any any 2.2.2.0 0.0.0.255 5.0.0.0 0.255.255.255permit ip any any 2.2.2.254 0.0.0.0 any
ip access-list extended acl_vlan3permit ip any any 3.3.3.0 0.0.0.255 3.3.3.0 0.0.0.255permit ip any any 3.3.3.0 0.0.0.255 5.0.0.0 0.255.255.255permit ip any any 3.3.3.254 0.0.0.0 any
ip access-list extended acl_vlan5permit ip any any 5.0.0.0 0.255.255.255 1.1.1.254 0.0.0.0permit ip any any 5.0.0.0 0.255.255.255 2.2.2.254 0.0.0.0permit ip any any 5.0.0.0 0.255.255.255 3.3.3.254 0.0.0.0permit tcp 5.0.0.0 0.255.255.255 any any any match-all +rstpermit tcp 5.0.0.0 0.255.255.255 any any any match-all +ack