HP A5500 и назначение acl на vlan

[DenisKh]

Добрый день,коллеги
Имеется в наличии коммутатора L3 HP A5500, на нем созданы vlan. Задача cоздать и повесить acl на этот самый vlan для фильтрации доступа.
Конфиг указан ниже

vlan 400
acl number 3000
rule 0 permit ip source 192.168.0.240 0 destination 172.16.2.0 0.0.0.255
rule 5 deny ip
i
nterface Vlan-interface400
ip address 172.16.2.1 255.255.255.0
undo dhcp select server global-pool
packet-filter 3000 inbound

Верно ли я понимаю правило: узел 192.168.0.240 имеет право обращаться к подсети 172.16.2.0 , все остальные нет ?
Просто у меня уже пошли сомнения в своей адекватности.. Ибо если указано rule 5 deny ip то к сети 172.16.2.0 доступ не имеет никто. А если не указано deny ip то все могут обращаться к этой сетке.
Буду признателен за помощь

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

если я правильно понял - у вас лист висит на вход. тоесть пакеты будут лететь с срц 172.16.2.0/24. а то что будет снаружи лететь в сторону 172.16.2.0/24 никак не отфильтровано.

[DenisKh]

На самом деле да, нужно ацл было вешать на vlan c которого шел запрос, а запрос шел из vlan1
те картина должна выглядить таким образом

interface Vlan-interface1
description --HBF_NETWORK--
ip address 192.168.0.5 255.255.255.0
undo dhcp select server global-pool
packet-filter 3003 inbound
#
interface Vlan-interface400
description --MNGM_NETWORK--
ip address 172.16.2.1 255.255.255.0
undo dhcp select server global-pool
ntp-service broadcast-server

Ну и сам acl

acl number 3003 name ACCESS-TO-MNGM-NETWORK
hardware-count enable
rule 0 permit tcp source 192.168.0.141 0 destination 172.16.2.0 0.0.0.255 destination-port eq 22 counting
rule 5 permit tcp source 192.168.0.240 0 destination 172.16.2.0 0.0.0.255 destination-port eq 22 counting
rule 10 permit tcp source 192.168.0.141 0 destination 172.16.2.0 0.0.0.255 destination-port eq www counting
rule 15 permit tcp source 192.168.0.240 0 destination 172.16.2.0 0.0.0.255 destination-port eq www counting
rule 20 permit tcp source 192.168.0.141 0 destination 172.16.2.0 0.0.0.255 destination-port eq 8080 counting
rule 25 permit tcp source 192.168.0.240 0 destination 172.16.2.0 0.0.0.255 destination-port eq 8080 counting
rule 30 permit udp source 192.168.0.229 0 destination 172.16.2.0 0.0.0.255 destination-port eq snmp counting
rule 35 permit icmp destination 172.16.2.0 0.0.0.255 icmp-type echo counting
rule 40 deny ip destination 172.16.2.0 0.0.0.255 counting

А я по привычке вешла ацл на 400 влан.

[lap]

а оно на out лист применять не умеет?

[DenisKh]

Умеет,ацл там достаточно гибкие. Вобще должен сказать что коммутатор оказался весьма неплохим за свои деньги.
Тут скорее вопрос ко мне был,так как я по привычке пытался сделать так как это работало на циске.