大家都知道通過vlanif可以實現不同vlan之間相互通信，但大部分情況下，為了安全考慮是希望不同vlan之間不能相互通信。今天講的ACL（訪問控制列表）就可以實現不同vlan之間通信隔離。

首先百度百科一下什麼是ACL：

ACL(訪問控制列表)是一種基于包過濾的訪問控制技術，它可以根據設定的條件對接口上的數據包進行過濾，允許其通過或丢棄。訪問控制列表被廣泛地應用于路由器和三層交換機，借助于訪問控制列表，可以有效地控制用戶對網絡的訪問，從而最大程度地保障網絡安全。

今天的實驗網絡拓撲圖如下：

首先配置PC_3和PC_4，如下圖：

開始配置S6850_2交換機：

<H3C>system-view

[H3C]vlan 10 20

[H3C]interface GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2]port link-type access

[H3C-GigabitEthernet1/0/2]port access vlan 10

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]port link-type access

[H3C-GigabitEthernet1/0/3]port access vlan 20

[H3C]interface GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

配置完成後在系統視圖下輸入dis cu查看設備配置情況如下圖：

開始配置S6850_1交換機：

<H3C>system-view

[H3C]vlan 10 20

[H3C]interface vlan 10

[H3C-Vlan-interface10]ip address 192.168.1.126 25

[H3C]interface vlan 20

[H3C-Vlan-interface20]ip address 192.168.1.254 25

[H3C]interface GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20

配置完成後在系統視圖下輸入dis cu查看設備配置情況如下圖：

設置完成後ping測一下：

PC_3pingPC_4、PC_4pingPC_3如下圖：

可以看到PC_3和PC_4之間是可以相互通信的。

現在開始在S6850_2交換機配置基本ACL（2000-2999）：

[H3C]acl number 2000

[H3C-acl-ipv4-basic-2000]rule 5 deny source 192.168.1.128 0.0.0.127

[H3C]acl number 2001

[H3C-acl-ipv4-basic-2001]rule 5 deny source 192.168.1.0 0.0.0.127

[H3C]interface GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2]packet-filter 2000 outbound

[H3C]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3]packet-filter 2001 outbound

配置完成後在系統試圖下輸入dis cu查看設備配置情況如下圖：

再次ping測一下：

PC_3pingPC_4、PC_4pingPC_3如下圖：

可以看到PC_3和PC_4無法相互通信，實現了不同vlan之間隔離通信。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!