mac acl和普通acl能同时在接口下生效吗？

接口同时应用包过滤3333和4000，先匹配二层 mac的acl，再匹配高级的acl。

如果mac acl 匹配为允许，继续匹配 高级的acl；
如果mac acl匹配为丢弃，不再匹配 高级的acl；

参考：https://zhiliao.h3c.com/Theme/details/220535

您好，可以的，按顺序匹配

 MAC ACL和普通ACL可以同时在接口下生效，但是它们的匹配顺序和处理方式有所不同。

1.MAC ACL是基于MAC地址的二层ACL，它可以对通过接口的数据帧进行过滤，只有当数据帧的源MAC地址或目的MAC地址与MAC ACL中的规则匹配时，才会执行相应的动作（允许或拒绝）。
2.普通ACL是基于IP地址的三层ACL，它可以对通过接口的数据包进行过滤，只有当数据包的源IP地址或目的IP地址与普通ACL中的规则匹配时，才会执行相应的动作（允许或拒绝）。
3.在接口上同时配置了MAC ACL和普通ACL时，交换机会先对数据帧进行MAC ACL的匹配，如果匹配成功，则执行MAC ACL的动作，如果匹配失败，则继续对数据包进行普通ACL的匹配，如果匹配成功，则执行普通ACL的动作，如果匹配失败，则默认拒绝该数据帧。

MAC ACL和普通ACL不会和IP source guard和包过滤产生冲突，因为它们的作用范围和目的不同。

IP source guard是一种防止IP地址欺骗的安全功能，它可以根据IP-MAC绑定表或DHCP snooping绑定表来限制接口上的IP地址来源，只允许绑定表中的IP地址通过接口，否则将被丢弃。
包过滤是一种防止网络攻击的安全功能，它可以根据预定义的过滤规则来检测和拦截接口上的异常数据包，如ARP欺骗、IP碎片、IP选项等，从而保护网络设备和用户的安全。