这是项目拓扑，用ensp模拟的

要实现的目的，10.1不可以访问10.2，但是可以访问10.3  正常情况下，都是一个网段，完全可以实现三台PC互相通讯的。

那么怎么实现呢？需要两个步骤

1、创建ACL  设置过滤规则，什么数据包允许通过、什么数据包不允许通过

2、在网络接口调用ACL，只有调用了才会检测数据包

首先在视图模式下创建ACL，这是说一下ACL 打一个？问号 ，是干什么呢？就是给大家看看ACL的编号

[lsw1]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules)

2000-2999  属于标准acl   只看数据包的源IP地址

  INTEGER<3000-3999>  Advanced access-list(add to current using rules)

3000-3999  属于高级acl   只看五元组，是什么呢？是源IP地址、目标IP地址、协议类型、源端口、目标端口

而最常用的就是上面这两个

区别就是高级ACL可以看数据内容或者说参数更多一些，
  INTEGER<4000-4999>  Specify a L2 acl group

4000-4999  二层ACL

  INTEGER<5000-5999>  User defined access-list

5000-5999  用户自定义

[lsw1]acl 2000   创建ACL2000
[lsw1-acl-basic-2000] 进入ACL2000
[lsw1-acl-basic-2000]rule deny source 192.168.10.1 0.0.0.0  

上面命令是禁止源IP192.168.10.1  通行  ，后面的子网0.0.0.0为精准匹配，就是禁止这个IP或者说是禁止源IP地址的数据包通行

permit：允许

 rule  ：规则

deny ：禁止

source  ： 源             

但是现在还是不好使，上面说了需要两个步骤，现在只是创建了ACL，下面需要调用ACL，我们在交换机的0/0/1口调用ACL

 [lsw1]interface GigabitEthernet 0/0/1     进入0/0/1接口

  [lsw1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000         调用ACL2000

traffic-filter   调用

inbound      英文意思是到达的意思，在这里叫做对进入接口的包做过滤

看着是不是ACL做完了，但是会发现ping 10.3也不通了，那么是什么原因呢？其实是ACL里面禁用了源10.1，也就是所有和10.1通信的都不好使了，所以普通ACL是不行的么？那么要是在0/0/2口配置ACL2000呢，是不是会好用呢？下面给大家试试吧

首先我们要把0/0/1口的ACL2000删除  

[lsw1-GigabitEthernet0/0/1]undo traffic-filter inbound acl 2000  删除ACL2000的命令，其实就是在正常配置命令前加undo

[lsw1-GigabitEthernet0/0/1]display this   这是查询当前接口信息，查询一下0/0/1接口下面的ACL2000是否被删除
#
interface GigabitEthernet0/0/1
#
return        接口下面什么信息都没有了

下面我们在交换机0/0/2口执行ACL2000 ，这里有些不同大家发现没有PC1访问PC2 那么0/0/1是进口，0/0/2是出口所以在出口上调用ACL2000  需要用到的命令是 outbound   具体如下

[lsw1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000   0/0/2调用ACL2000  

这时候就实现了10.1不可以访问10.2，但是可以访问10.3