ACL на VLAN

[Zigzug]

Помогите разобраться!

Кусок конфига на Cat3550:

ip dhcp pool COMMON
  network 172.16.22.0 255.255.255.192
  default-router 172.16.22.1
  lease 100

ip dhcp pool BUHGALTERS
  network 172.16.23.0 255.255.255.192
  default-router 172.16.23.1
  lease 120

ip dhcp pool TECHNO
  network 172.16.22.64 255.255.255.240
  default-router 172.16.22.65
  lease 3


interface Vlan9
description TECHNO
ip address 172.16.22.65 255.255.255.240

interface Vlan8
description COMMON
ip address 172.16.22.1 255.255.255.192

interface Vlan23
description BUHGALTERS
ip address 172.16.23.1 255.255.255.192

Как сделать так, что-бы Vlan23 (BUHGALTERS) был недоступен ни для кого, кроме Vlan9 (TECHNO)?
Я понимаю так, что нужно сделать ACL и применить к Vlan23, но запутался, что считать in/out трафиком в таком случае

[krasnov]

Если твоя задача состоит в установке ACL на виртуальный (VLAN), а не на физический интерфейс, то используй vlan access-map.
В качестве бонуса там не надо давать направление
Примеры здесь http://www.cisco.com/en/US/customer/pro ... #wp1031180

[Zigzug]

А как еще можно решить мою задачу?

[krasnov]

Это уже очень сложный вопрос.
Если совсем отказаться от ACL, то в свичах ограничить трафик на порт можно через port protected - но в твоей задачи реализацию через эту фичу не представляю.
PS: а что не понравилось?

[Zigzug]

Может я не разобрался с vlan access-map, может у меня ИОС кривой - но у меня они не заработали.

[krasnov]

Скажи как именно не заработало
Покажи что было в sh run
А по IOS дай sh ver