拓扑描述:
        某企业有100个信息点,分属五个部门。用一台二层交换机和一台路由器作为网络层设备;局域网内部有一台OA服务器。
组网需求:
        五个部门分属5个VLAN,VLAN间不能互通。要求所有终端都可以上公网,并访问OA服务器。
也就是说,有两个需求:
        一、5个部门的终端不能互相通讯
        二、5个部门都要求能够访问OA SERVER和公网。
      
        根据这两种实际需求,怎么用ACL实现呢?
        以Cisco路由器为例,在全局模式下进行如下配置:
access-list 100 permit ip any host OA的ip
access-list 100 deny  ip any ip 网络号 通配符
access-list 100 permit ip any any
        然后在相应的子接口下绑定:
ip access-group 100 in
 
命令解释:
        第一条就是允许OA服务器上的数据进入;
        第二条就是拒绝其它四个部门的数据流进入;
        第三条是允许所有流量进入,然后最后在相应接口绑定并启用放通或丢弃的操作。( 思科的ACL最后都默认隐藏了一条deny 所有的语句,所以必须人为添加一条permit语句)