VLAN间访问

您好，用ACL规则，应用在虚接口下，是最好的方案

1，网关移到防火墙，不建议

2，采购新的防火墙，建议

建议网关放在交换机，由交换机做转发，内网限制通过ACL实现。

防火墙转发性能没有交换机高，网关放在防火墙部分业务如OA 数据库 连接会有问题。

还是让它们各司其职。

1、不建议移到防火墙，因为网关移动到防火墙，会导致内部东西向流量也经过防火墙，防火墙性能需要考虑

2、如果非要做，可以再防火墙上通过子接口的方式来实现

3、建议内部隔离就在交换机上写acl好了，关键服务器单独接防火墙

谢谢老师们的建议！！

看起来都是建议在交换机上做ACL，转发效率更高。

我们子网之间的访问需求会经常发生变化，有时是子网之间的策略，有时是子网的某个IP地址的策略，我担心的是ACL做得太多，我个人觉得可能没有Firewall的策略阅读清晰，会导致混乱。

补充

假设按上网络拓扑，按一级部门来做隔离 

1、VLAN 1-9 Server + App

2、VLAN10-19 Office 

3、VLAN20-29 R&D 

4、VLAN30-39 Production

 一级部门内的多个子网是否可以配置同一个网关，类似于SuperVLAN，网关则在Firewall上，内部的二级部门子网之间可以相互访问和配置ACL，例如R&D的二级部门如下：

 1、RD1 10.10.20.0/24 

2 、RD2 10.10.21.0/24

 3、RD3 10.10.22.0/24

 我会在CORE-SW配置好所有的二级部门VLAN，但这样就会产生很多直连路由，我想让二级部门的这些子网形成一个RD区域连接到Firewall接口上，让Firewall来控制一级部门之间的访问策略。