DES-3828 разделен на 2 VLAN'а, для каждого создан IP-интерфейс. Свитч по умолчанию выполняет неограниченную маршрутизацию между VLAN'ами. На данный момент мне необходимо их друг от друга изолировать; в будущем, возможно, понадобится разрешить доступ из одного VLAN'а к некоторым хостам в другом. Чтобы запретить маршрутизацию, мне нужно прописывать в ACL отдельное правило для каждого порта коммутатора и каждой IP-подсети, или можно прописать какой-то единый deny all?

Можно создать acl для какой-то подсети и повесить его на группу портов

Какой ACL для подсети, разрешающий? Но ведь в рамках VLAN мне нужно разрешить любой трафик, а он и так разрешен по умолчанию. К примеру, если бы у меня были два свитча, связанные роутером, то на каждый интерфейс роутера я бы повесил правила, разрешающие нужный мне входящий трафик между подсетями, и в конце - запрет всего. А как тут создать правило, затрагивающее не весь трафик в VLAN'е, а только тот, который проходит через "ядро" маршрутизации? Пробовал создавать правила для CPU - не помогает.

acl должен быть запрещающий, с фильтрацией по ip dst

Т.е. принцип "запрещено все, что не разрешено" на D-Link реализовать не удастся? Пичаль, на Cisco с этим проблем нет... Хотелось именно разрешить что-то конкретное, а все остальное - запретить. Кстати, а как через веб-морду повесить ACL на группу портов? В поле Port он принимает только одно число, тире или запятые не принимает.

Приведите пример чего Вы хотите сделать.

У меня 2 VLAN'а - default (порты 1-12, 25, 27) и vlan2 (13-24, 26, 28). В default есть IP-интерфейс 192.168.0.1/24, в vlan2 - 192.168.2.1/24. Допустим, в default будет веб-сервер 192.168.0.10, а в vlan2 - 192.168.2.20. К каждому из них должен быть доступ из обоих VLAN'ов. Весь остальной трафик между VLAN'ами должен быть запрещен. В то же время внутри каждого из VLAN'ов никакой фильтрации трафика быть не должно - к примеру, если в vlan2 воткнут два компа с адресами, скажем, в диапазоне 10.27.0.0/16, то эти два компа должны друг друга видеть.

Действие ACL не распространяется на трафик, предназначенный интерфейсам коммутатора, поэтому для них писать разрешающие правила не нужно. В остальном ничто не мешает написать сначала разрешающие правила для отдельных компьютеров, а далее запрещающие для всех остальных IP-адресов из этой же подсети. То есть вполне можно использовать принцип "запрещено все, что не разрешено".