华为交换机可不可以基于VLAN做ACL，而不是物理端口，具体是什么型号，新手啊，好多都不懂

华为交换机可不可以基于VLAN做ACL，而不是物理端口，具体是什么型号，新手啊，好多都不懂

S2700-EI支持丰富的ACL策略控制，特别支持基于VLAN下发ACL规则，实现VLAN内多端口的灵活控制和统一资源调度。而S3700、S5700更是三层交换机，以及为运营商提供的S2300、S3300、5300以及S9300，当然支持基于VLAN的ACL，而华三的交换机， 二层交换机需要是EI型号，比如 S3100-26TP-EI，而SI类应该是有问题，没有试过，华三 S3600、S5120EI，S5500，S5800，S7500及以上三层交换机也都支持基于VLAN的ACL。 
在思科设备上，有VLAN ACL和VACL的区别：
我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。 
1)       最后一条隐藏规则是deny ip any any，与ACL相同。
2)       VACL没有inbound和outbound之分，区别于ACL。
3)       若ACL列表中是permit，而VACL中为drop，则数据流执行drop。
4)       VACL规则应用在NAT之前。
5)       一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。
6)       VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。
在交换机上有两种访问控制列表
1.控制抵达交换机的流量的访问控制列表
2.穿越交换机的流量的访问控制列表
控制穿越流量的三种类型ACL
1.RACL：路由器ACL，路由器是可以支持的，控制的是三层的流量，可以在三层接口上做input/output的过滤
2.VACL：vlan间的ACL，这种ACL是路由器不能支持的，它可以做三层或者VLAN内部的控制，也就是二层/三层都可以做限制
3.RACL：端口ACL，二层端口运用一个三层的访问控制列表，可以对VLAN间或者VLAN内部做限制，只能在input方向应用
VACL的特点
1.VACL能控制vlan内的流量
2.能够对IP或者是非IP的流量进行控制
3.VACL优先RACL进行处理
4.VACL没有方向性，进入或离开都要受控制
在思科设备上，我也试过，应用也很简单。
在华三的设备上，几年前我试过，没成功，只能用以下方法，进行代替性的工作：
基于网段的限速
为了保证办公区对带宽的优先使用，决定采用按VLAN分配带宽的限速策略。由于办公区优先级别高，它的平均带宽应大于带宽总平均值，所以将30M中的10M分配给VLAN 2，10M分配给VLAN 10,10M分配给VLAN 20配置如下：
定义各个vlan的上下行ACL
acl number 3001
rule 0 permit ip source 192.168.0.0 255.255.255.0
acl number 3002 
rule 0 permit ip destination 192.168.0.0 255.255.255.0
acl number 3003 
rule 0 permit ip source 192.168.1.0 255.255.255.0
acl number 3004 
rule 0 permit ip destination 192.168.1.0 255.255.255.0   
acl number 3005
rule 0 permit ip source 192.168.2.0 255.255.255.0
acl number 3006 
rule 0 permit ip destination 192.168.2.0 255.255.255.0
interface GigabitEthernet1/0/1 //在外网口做限速
qos car inbound acl 3001 cir 12288000 cbs 800000 ebs 0 green pass red discard   //vlan2上行带宽限制为12M
qos car inbound acl 3003 cir 12288000 cbs 800000 ebs 0 green pass red discard   //vlan10上行带宽限制为12M
qos car inbound acl 3005 cir 12288000 cbs 800000 ebs 0 green pass red discard   //vlan20上行带宽限制为12M
qos car outbound acl 3002 cir 12288000 cbs 800000 ebs 0 green pass red discard  //vlan2下行带宽限制为12M
qos car outbound acl 3004 cir 12288000 cbs 800000 ebs 0 green pass red discard  //vlan10下行带宽限制为12M
qos car outbound acl 3006 cir 12288000 cbs 800000 ebs 0 green pass red discard  //vlan20下行带宽限制为12M
interface GigabitEthernet1/0/3 //在内网口做每IP限速
qos car inbound acl 3001 cir 2000000 cbs 100000 ebs 0 green pass red discard   //vlan2上行带宽限制为2M
qos car inbound acl 3003 cir 2000000 cbs 100000 ebs 0 green pass red discard   //vlan10上行带宽限制为2M
qos car inbound acl 3005 cir 2000000 cbs 100000 ebs 0 green pass red discard   //vlan20上行带宽限制为2M
qos car outbound acl 3002 cir 2000000 cbs 100000 ebs 0 green pass red discard  //vlan2下行带宽限制为2M
qos car outbound acl 3004 cir 2000000 cbs 100000 ebs 0 green pass red discard  //vlan10下行带宽限制为2M
qos car outbound acl 3006 cir 2000000 cbs 100000 ebs 0 green pass red discard  //vlan20下行带宽限制为2M
可以通过运行display qos car interface命令查看每条限速命令是否已生效
其他应用，需要实际应用的时候试试看了。 
这是几年前开局时用过的，现在的交换机软件版本更新太快，这个做法，现在已经做不出来了。
现在最常用的，就是在华为X7系列以及X3交换机上做基于IP地址的ACL：
#
 sysname Quidway
#
 time-range server1 09:00 to 18:00 working-day
#
acl number 3001
 rule 1 deny ip destination 192.168.2.1 0 time-range server1
#
interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3001 rule 1
return
刚才找了台机器试了下，华在X3，X7系列都支持，在WEB页面可以配置。将ACL应用到VLAN。

如果交换机支持ACL，一般就没有端口类型问题，ACL是建立在端口之上的策略组，可以下发到指定端口的in或out中，而不管是物理端口还是虚拟端口，否则属于资源浪费。

要看你想实现什么功能，VLAN划分的是区域，ACL做的是进和出的控制，不知道你值得基于VLAN是个啥概念