Возникла необходимость запретить трафику ходить из vlan2 в vlan, но из vlan во vlan 2 доступ должен остаться прежним, т.е. полным.
Необходимо понимать, что ACL в данном случае (Catalyst 3750) - это пакетный фильтр без отслеживания состояния. Соответственно, он может только разрешать/запрещать перенаправлять пакеты от одного интерфейса к другому. Если вы уверены, что именно это вам и нужно, и если маршрутизацией занимается 3750, то вам следует:
1) создать ACL:
ip access-list extended deny_vlan2_to_vlanX
deny ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
permit ip any any
2) завесить ACL:
interface vlanX
ip access-group deny_vlan2_to_vlanX out
3) пронаблюдать результат.
Знаю, что это как-то запрещается и разрешается на уровне ACL, но никак не могу настроить, в основном трафик вообще пропадает.
Необходимо понимать, что если "доступ" из влана X во влан 2 подразумевает какой-либо двусторонний протокол (т.е. практически любой), то "доступа" из влана X во влан 2 не будет.
В этом случае вам может помочь фаервол с поддержкой состояния (который выделит, например, начало сессии), которого в catalyst 3750, насколько мне известно, нет.
В случае использования для "доступа" протокола, использующего TCP, возможен вариант с ключевым словом
established.
ip access-list extended deny_vlan2_to_vlanX_variant2
permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 established
deny ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
permit ip any any
Этот ACL завесить на тот же интерфейс vlanX таким же образом, что и в предыдущем случае.
Буквой X везде отмечен ваш таинственный влан с префиксом 10.0.1.0/24 (который не 2).
