核心交换机做acl

S7006X 核心 ACL 完整方案（网关全在核心、三层上联路由器）
一、先确定：ACL 部署位置最优选择
结论：访问控制全部在 S7006X 核心交换机部署，不要放路由器
原因
所有业务网段三层网关在 S7006X，跨 VLAN / 跨网段流量全部先经过核心 Vlanif 接口，在核心做 ACL 可以直接拦截内网互访流量，不用流量跑到路由器再回包；
路由器只做出口转发，仅放行核心过来的互联网流量，不负责内网隔离；
若把 ACL 放路由器：内网互访流量会完整走完「核心→路由器→核心」环路，浪费带宽、增加设备转发压力，隔离效果差。
流量拆分两种管控需求
内网跨网段互访控制（只允许指定网段互通，其余内网网段互访全部阻断）
部署点：S7006X 各业务 Vlanif 接口 inbound 方向
互联网访问控制（大部分网段能上网，少数网段禁止上网）
部署点：S7006X 上联路由器的三层互联接口 outbound 方向（去往出口路由器的流量统一拦截）
二、组网假设（通用案例，你替换网段即可）
核心 S7006X 业务网段（网关均在核心 Vlanif）
Vlan10：10.0.10.0/24 办公网段（允许所有内网互通、允许上网）
Vlan20：10.0.20.0/24 财务网段（仅允许和 Vlan10 互通，禁止和其他业务网段互访、允许上网）
Vlan30：10.0.30.0/24 生产网段（仅允许和 Vlan10 互通，禁止其他内网互访、禁止上网）
Vlan40：10.0.40.0/24 访客网段（禁止访问所有内网业务网段、允许上网）
核心↔路由器三层互联地址
S7006X 侧：Vlanif 99 10.0.99.1/24
路由器互联口：10.0.99.2/24
互联网出口：所有上网流量从 10.0.99.1 转发至 10.0.99.2
三、完整配置案例（Comware V7 S7006X）
步骤 1：基础全局配置
bash
运行
# 开启三层转发
ip forwarding
# 定义高级ACL 3000 管控内网跨网段互访
acl number 3000
# ======================允许规则======================
# 1. Vlan10办公网段可以访问所有内网网段
rule permit ip source 10.0.10.0 0.0.0.255 destination any
# 2. 财务Vlan20仅允许访问办公Vlan10
rule permit ip source 10.0.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255
# 3. 生产Vlan30仅允许访问办公Vlan10
rule permit ip source 10.0.30.0 0.0.0.255 destination 10.0.10.0 0.0.0.255
# 4. 访客Vlan40禁止访问所有内网业务，无放行内网规则
# ======================默认阻断所有其他内网互访======================
rule deny ip
步骤 2：内网 ACL 绑定所有业务 Vlanif inbound（流量进网关时拦截）
bash
运行
# 办公网段Vlanif10
interface Vlan-interface 10
packet-filter inbound acl 3000
quit
# 财务网段Vlanif20
interface Vlan-interface 20
packet-filter inbound acl 3000
quit
# 生产网段Vlanif30
interface Vlan-interface 30
packet-filter inbound acl 3000
quit
# 访客网段Vlanif40
interface Vlan-interface 40
packet-filter inbound acl 3000
quit
原理：终端进入三层网关时匹配 ACL，不符合互通规则直接丢弃，流量不会转发到其他 VLAN。
步骤 3：互联网访问控制 ACL（3001，控制哪些网段能去出口路由器上网）
bash
运行
acl number 3001
# 允许上网网段
rule permit ip source 10.0.10.0 0.0.0.255 destination any
rule permit ip source 10.0.20.0 0.0.0.255 destination any
rule permit ip source 10.0.40.0 0.0.0.255 destination any
# 生产Vlan30禁止上网
rule deny ip source 10.0.30.0 0.0.0.255 destination any
# 兜底放行（互联地址、设备管理地址）
rule permit ip source 10.0.99.0 0.0.0.255 destination any
步骤 4：互联网 ACL 绑定上联路由器三层接口 outbound（去往出口统一过滤）
bash
运行
# 三层互联Vlanif99（对接路由器）
interface Vlan-interface 99
packet-filter outbound acl 3001
quit
原理：所有要发往互联网的流量，从核心去往路由器时统一匹配，禁止上网的网段直接在核心阻断，不会转发到路由器。
四、两种 ACL 逻辑说明
内网互访 ACL 3000（Vlanif inbound）
只写允许互通的规则，最后一条deny ip阻断全部未授权跨网段访问；
所有业务网关接口全部绑定，内网隔离一步到位。
上网权限 ACL 3001（上联口 outbound）
统一管控出口权限，不用每个 VLAN 单独配置；
禁止上网的网段直接拒绝去往出口路由器的流量，实现断网效果。
五、补充优化方案（反向访问控制，按需添加）
上面 ACL 是源网段主动访问其他网段的控制；如果需要限制其他网段主动访问财务 / 生产，可增加反向放行规则：
bash
运行
acl number 3000
# 允许Vlan10主动访问财务、生产（原有规则保留）
rule permit ip source 10.0.10.0 0.0.0.255 destination any
# 补充：允许财务、生产主动被办公网段访问（双向互通）
rule permit ip source 10.0.10.0 0.0.0.255 destination 10.0.20.0 0.0.0.255
rule permit ip source 10.0.10.0 0.0.0.255 destination 10.0.30.0 0.0.0.255
六、验证排查命令（S7006X 执行）
bash
运行
# 1. 查看ACL匹配计数，确认规则是否生效
display acl 3000
display acl 3001

# 2. 查看Vlanif接口是否绑定包过滤
display interface Vlan-interface 10 packet-filter
display interface Vlan-interface 99 packet-filter

# 3. 测试跨网段连通性
ping -a 10.0.20.1 10.0.30.1
# 财务访问生产，应不通；办公访问生产，应通

# 4. 测试禁止上网网段
tracert 公网IP source 10.0.30.1
# 生产网段无法转发到10.0.99.2路由器
七、为什么不推荐在路由器做 ACL？
内网互访流量必须经过「核心→路由器→核心」往返，占用上联带宽；
路由器 ACL 只能管控进出互联网流量，无法拦截内网之间二层 / 三层互访；
网段越多，路由器 ACL 规则越复杂，后期维护困难；
S7006X 硬件 ACL 线速转发，不会增加 CPU 负载，路由器软件 ACL 大流量容易卡顿丢包。
八、极简适配修改指引
替换案例里的网段（10.0.10.0/24 等）为你现场实际业务网段；
按需增删 ACL 里的 permit 规则，只保留你需要互通的网段；
禁止上网的网段在 ACL3001 里添加 deny 规则即可；
若上联路由器是三层路由口（不是 Vlanif），直接把 packet-filter 绑定到对应物理 Ten-GigabitEthernet 口 outbound。

上网在路由器上做，可以不做某个网段的回城路由，也可以通过acl在nat outbound做限制
网段之间互不互访在核心上通过acl包过滤实现