华为三层交换机S5700做ACL访问控制列表限制不同vlan间的通信

组网情况：华为核心三层S5700下边接入了5个接入二层交换机。现在是在核心交换机上划分了五个vlan
vlan1 192.168.1.10 vlan2 192.168.2.20 vlan3 192.168.3.30 vlan4 192.168.4.40 vlan5 192.168.5.50
五台二层接入交换机分别对应划分vlan1 vlan2 vlan3 vlan4 vlan5 需求是vlan1 vlan2 vlan3 vlan4 不能互相访问但是可以同时访问vlan5 这个需求如何用acl访问控制实现

针对这种情况，是不需要ACL功能来实现的，而且ACL也实现不了这种功能的。正确的配置方法应该是vlan的配置，只需要将vlan5包含的端口都加入到vlan1、2、3、4，也就是vlan5包含的端口都是trunk端口或者是hybrid端口，这样这些端口就属于多个vlan，也就是这些端口针对vlan1、2、3、4的报文就不会被丢弃，所以也就能达到目的了！

[huawei]dis cu # sysname huawei # vlan batch 10 20 30 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # diffserv domain default # acl number 3000  rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 # drop-profile default # aaa  authentication-scheme default  authorization-scheme default  accounting-scheme default  domain default  domain default_admin  local-user admin password simple admin  local-user admin service-type http # interface vlanif1 # interface vlanif10  ip address 192.168.10.1 255.255.255.0 # interface vlanif20  ip address 192.168.20.1 255.255.255.0 # interface vlanif30  ip address 192.168.30.1 255.255.255.0 # interface meth0/0/1 # interface ethernet0/0/1  port link-type access  port default vlan 30 # interface ethernet0/0/2  port link-type access  port default vlan 10  traffic-filter inbound acl 3000 # interface ethernet0/0/3  port link-type access  port default vlan 20 #