ER3208G5 VLan 防火墙

把2个VLAN都写到交换机上。ER只做路由就可以解决

在 ER3208G5 上实现 VLAN 1 单向访问 VLAN 2（即 77 网段访问 78 网段，反之不行），同时两个 VLAN 都能上网，核心是访问控制策略。

你一直配不好，很可能是策略的生效方向或规则顺序没设置对。下面是具体的配置步骤，你可以对照着检查。

1. 在页面配置访问控制策略

这是最直观的方法，你需要创建两条规则来实现单向访问：

1. 登录路由器，进入 “网络安全” > “访问控制”。

2. 添加第一条规则（允许 VLAN 1 访问 VLAN 2）：

   • 动作：允许

   • 源地址：填写 192.168.77.0/24 (VLAN 1)

   • 目的地址：填写 192.168.78.0/24 (VLAN 2)

   • 备注：允许 VLAN 1 访问 VLAN 2

3. 添加第二条规则（禁止 VLAN 2 访问 VLAN 1）：

   • 动作：拒绝

   • 源地址：填写 192.168.78.0/24 (VLAN 2)

   • 目的地址：填写 192.168.77.0/24 (VLAN 1)

   • 备注：禁止 VLAN 2 访问 VLAN 1

 关键点：规则顺序
访问控制列表是从上到下匹配的。你必须确保 “允许”规则排在“拒绝”规则之前。如果顺序反了，数据包会先被“拒绝”规则匹配，导致 VLAN 1 也访问不了 VLAN 2。配置后，可以通过规则列表的 “移动” 功能来调整顺序。

2. 检查并配置防火墙策略（如果页面无效）

如果上面的页面配置不生效，可能是因为 ER3208G5 的防火墙策略有更高的优先级。

1. 进入 “网络安全” > “防火墙”。

2. 确保全局的防火墙功能是开启状态。

3. 重点关注 “转发策略” 或 “域间策略”（不同软件版本名称可能略有差异）：

   • 你需要建立一条从 Trust（信任区，通常对应 VLAN 1）到 Trust 或 Untrust（非信任区）的策略，并允许 77 网段访问 78 网段的流量。

   • 同时，确保没有更高级别的策略禁止了 VLAN 2 主动访问 VLAN 1。