现有1台9303 ，划分10个vlan，vlan7可以对其他9个VLAN进行访问，其他9个vlan都不能实现互访，请教具体设置！谢谢各位大大！！！

给你一个案例。。你自己参考吧。

其实很简单，就是ACL

根据现场测试，可以进行三种规划设计：
一：访问策略应用在核心交换机上，
  关键命令：
  如有三个VLAN  分别为VLAN 10 VLAN 20 VLAN 30 vlan 40 (服务器)        ：
acl number 3000
rule 1 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.20.0 0.0.0.255
rule 2 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.40.0 0.0.0.255
以上访问列表实现vlan10 和vlan 20 vlan 30 的双向限制互访，即VLAN 10 无法与vlan 20 30 互相通信，但不影响vlan 10 20 30 与vlan 40 之间的访问

可应用在核心交换机的光端口上：
# inter GI 1/0/2
(GI1/0/2)#QOS
GI1/0/2—QOS )#  packet-filter inbound ip 3000
二：
将以上ACL和应用应用到汇聚交换机上，唯一的区别是，不用先进Q0S。

三：应用在接入交换机上
  现在在建工程应用在接入交换机上，尽管配置工作量大了点，但是从为核心交换机减负和网络的健壮上，还是配置在了接入交换机。
acl number 3000
rule 1 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.20.0 0.0.0.255
rule 2 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.40.0 0.0.0.255
  # inter GI 1/1/1 （接入交换机的光端口）
(GI1/1/1)#  packet-filter outbound ip 3000  

注：访问列表可以继续添加规则，此访问列表为双向，配置了一条命令不仅能阻止本交换机端的源地址不能访问任意目的端地址，同时也能阻止任意端的目的地址访问本交换机（ACL在本交换机上有的）上的源地址；但不会限制目的地址段访问其它未做ACL的交换机的源地址。

还是在大公司好呀，老唐总是能提供经典案例。佩服。

请楼主反馈结果

大侠唐在飞

1.
一：访问策略应用在核心交换机上，
  关键命令：
  如有三个VLAN  分别为VLAN 10 VLAN 20 VLAN 30 vlan 40 (服务器)        ：
acl number 3000
rule 1 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.20.0 0.0.0.255
rule 2 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.40.0 0.0.0.255
以上访问列表实现vlan10 和vlan 20 vlan 30 的双向限制互访，即VLAN 10 无法与vlan 20 30 互相通信，但不影响vlan 10 20 30 与vlan 40 之间的访问

因是rule 2 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.30.0 0.0.0.255吧
2.
可应用在核心交换机的光端口上：
# inter GI 1/0/2
(GI1/0/2)#QOS
GI1/0/2—QOS )#  packet-filter inbound ip 3000
请问可以此口如是TRUNK,是否可以这样下放
3三：应用在接入交换机上
  现在在建工程应用在接入交换机上，尽管配置工作量大了点，但是从为核心交换机减负和网络的健壮上，还是配置在了接入交换机。
acl number 3000
rule 1 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.20.0 0.0.0.255
rule 2 deny ip sou 192.168.10.0 0.0.0.255 des 192.168.40.0 0.0.0.255
  # inter GI 1/1/1 （接入交换机的光端口）
(GI1/1/1)#  packet-filter outbound ip 3000  

同样问一下,此口如为TRUNK,是否可以这样做

等待结果中！

小侠的是个好案例。不过我好像记得哪本书里讲，复杂的控制策略放在汇集层上吧