今天在一华为的3552上做ACL，碰到了些怪事。

交换机配了IP，仅仅作管理用，设备还是跑二层应用的，需要做ACL，想法是在主机直连的下联端口上做ACL，这样比较精确一些，免得误动作影响其他端口上的业务。不放心ACL各条规则的解释顺序，先用ICMP尝试一下。发现端口上只能做inbound的ACL，不过没关系，先试试，就拿下面某个IP试试，三条规则，第一条deny掉以该IP为目的ICMP包，第二条deny掉以该IP为源的ICMP包，最后加了一条允许全部的IP协议（小心些，加了总没错）。在下联端口上用了，没效果，仍然能ping通。没想通为啥。

同样的ACL，因为是双向deny掉的，所以没改，直接用到上联口上，同样没有效果。纳闷了。

后来问了一个同事，说他记得3552端口上是不能应用ACL的，以前他是全局应用的，所有端口。可端口上packet-filter命令敲进去很正常，并且华为的5648啥的上面都是在端口上packet-filter的。于是看看全局命令有没有这个命令。结果是有的，但后面还是得跟上interface指定端口。

再次尝试在下联端口上应用ACL，还是没用。在上联端口上应用，有效果，ACL里的那个IP ping不通了，WEB访问正常。

真是搞不懂华为玩啥飞机。