ACL访问限制策略

H3C交换机可以使用ACL（访问控制列表）来实现同网段之间的访问限制¹²³。ACL是一种用于过滤数据包的技术，可以根据源地址、目的地址、协议类型、端口号等条件来允许或拒绝数据包通过交换机的接口¹。

对于你的第一个问题，同网段之间的访问限制只能在接口做策略么？答案是否。除了在接口上应用ACL外，还可以在VLAN上应用ACL，或者使用VLAN映射功能来实现同网段之间的访问限制¹²。具体的配置方法可以参考以下链接：

• 交换机怎么配置只允许某一个网段访问另一个网段
• 基于华三交换机，限制其他网段的IP访问
• 01-H3C_ACL典型配置举例

对于你的第二个问题，有一台esxi服务器10.0.0.1/24 上面有3台虚拟服务器，IP分别为： 10.0.0.2/24 10.0.0.3/24 10.0.0.4/24

要求 10.0.0.2 和（10.0.0.3，10.0.0.4 ）做隔离不能互访，允许 10.0.0.3 10.0.0.4 可以访问，

这个策略调用在连接服务器的物理接口上么？答案是是。如果你想使用ACL来实现这个需求，你需要在连接服务器的物理接口上应用一个高级ACL，例如：

acl ad 3000 rule 1 deny ip source 10.0.0.2 0 destination 10.0.0.3 0 rule 2 deny ip source 10.0.0.2 0 destination 10.0.0.4 0 rule 3 deny ip source 10.0.0.3 0 destination 10.0.0.2 0 rule 4 deny ip source 10.0.0.4 0 destination 10.0.0.2 0 rule 5 permit ip

int gi x/x/x packet-filter 3000 inbound

这样就可以实现10.0.0.2和（10.0.0.3，10.0.0.4）之间的隔离，同时允许10.0.0.3和10.0.0.4之间的互通。

希望以上信息能够对你有所帮助。如果你还有其他问题，欢迎随时咨询我。😊