基于vlan三層通信原則，創(chuàng)建好基礎配置的情況下，雙方是可以通信的，要求做到彼此之間不可以通信。

SW1創(chuàng)建 vlan

配置SW1的接口并加入對應的VLAN。E0/0/4接口方向?qū)腣LAN

SW2創(chuàng)建 vlan

起VLANif接口，并配置對應的IP地址。

目前PC4是和PC1相通的，因為三層地址有VLANif，三層互通

SW2上面有路由表。

現(xiàn)在在SW2上面創(chuàng)建一個ACL。

在接口調(diào)用

這個時候PC4就PING不通PC1了 。因為ACL語句寫的拒絕了。

以上是針對一個網(wǎng)段的抓取，做拒絕策略。

下面演示一下針對單獨IP ???PC4 ?PC2之間彼此不可訪問。

[sw2]acl number 2005 ???????????????????????????????????

創(chuàng)建acl2005

[sw2-acl-basic-2005] rule 5 deny source 10.10.122.12 0 ????????僅拒絕一個IP

[sw2-acl-basic-2005]traffic classifier c1配置流分類

[sw2-classifier-c1] if-match acl 2005調(diào)用acl2005

[sw2-classifier-c1]traffic behavior b1配置流行為

[sw2-behavior-b1] deny流行為為拒絕

[sw2-behavior-b1]traffic policy p1配置流策略

[sw2-trafficpolicy-p1] classifier c1 behavior b1

[sw2-trafficpolicy-p1]interface GigabitEthernet0/0/1

[sw2-GigabitEthernet0/0/1]traffic-policy p1 outbound將流策略應用到接口

?

測試：

實驗完成。

?