在使用路由器作为网关的情况下，下层接交换机做ACL隔离VLAN可以吗？

可以的

参见https://www.h3c.com/cn/Service/Document_Software/Document_Center/Routers/Catalog/ER/ER5200/Quick_Starts/Quick_Maintenance/H3C_ER(V1.03)/?CHID=177269#_Toc482687257

3.2  如何划分VLAN，实现单臂路由，禁止网段间互访？

1. 组网图

2. 组网需求

如上图所示，无管理Switch A连接ER路由器的LAN1接口，有管理Switch B连接LAN2接口，实现Switch A下所有客户端获取到VLAN2的地址，Switch B下存在两个VLAN（VLAN3：192.168.3.0/24，VLAN4：192.168.4.0/24）对应两个部门，部门之间禁止互访。

3. 配置步骤

(1)     新增三个VLAN（页面向导：接口设置→VLAN设置→VLAN设置）：

·     VLAN2 IP为192.168.2.1（即VLAN2的网关地址），子网掩码：255.255.255.0。

·     VLAN3 IP为192.168.3.1，VLAN4 IP为192.168.4.1，子网掩码均为255.255.255.0。

(2)     编辑LAN1口配置（页面向导：接口设置→VLAN 设置→Trunk口设置），双击LAN1口所在条目进入编辑状态，将LAN1口的PVID和允许通过的VLAN均改为2。（如果其他LAN口同样接无管理设备实现类似功能可参考此步。）

(3)     编辑LAN2口配置，允许通过的VLAN改为3～4。Switch B的上行端口设置为Trunk，允许VLAN3、VLAN4通过即可。（如果有管理交换机下存在更多的VLAN，则只需添加到允许通过的VLAN中即可。）

(4)     如果局域网内用户通过动态DHCP获取对应网段的IP，需要通过DHCP设置（页面向导：接口设置→DHCP设置→DHCP设置），添加各个VLAN网段对应的DHCP地址池。

(5)     配置VLAN3和VLAN4网关不能互访，在设备防火墙功能的出站通信策略中增加一条规则，禁止源IP地址范围为192.168.3.2～192.168.3.254的设备访问目的地址范围为192.168.4.2～192.168.4.254的所有服务。