(config)#ip access-list extended deny88 #创建名为deny88的ACL (config-ext-nacl)#permit ip 192.168.88.0 0.0.0.255 192.168.6.0 0.0.0.255 #允许访问指定VLAN (config-ext-nacl)#deny ip 192.168.88.0 0.0.0.255 192.168.0.0 0.0.255.55 #禁止访问指定VLAN (config-ext-nacl)#permit ip 192.168.88.0 0.0.0.255 any #允许出公网 (config-ext-nacl)#exit (config)#interface vlan 88 #进VLAN (config-if)#ip access-group deny 88 in #应用ACL到指定接口 (config-if)#exit wr 基于OUT的ACL必须在三层接口上做,VLAN做OUT没有作用
转载于:https://blog.51cto.com/ccie119/1341446