全网以互联互通！如有什么疑问去看上一篇文章（拓扑图）！

下面我们来配置 阻止VLAN 4的PC 拒绝访问 我们VLAN2 里的 PC

因为是控制流量 所有我们就用标准的控制列表（列表号1-99 1300-1999）

标准ACL（访问控制列表） 我们做在离 被访问 越近越好！ 这里我们就应该放在 虚拟VLAN2 接口

接下来配置

Multilayer Switch2

Switch>enable
Switch#configure terminal
Switch(config)#access-list 1 deny 192.168.4.0 0.0.0.255   （配置标准ACL 列表号1 拒绝 192.168.4.0网段）
Switch(config)#access-list 1 permit any     （允许其他所有）
Switch(config)#interface vlan 2
Switch(config-if)#ip access-group 1 out     （把控制列表放在VLAN2 接口  出的方向）

结果！

PC>ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.2.2:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

不通！

成功！！（拒绝其他VLAN访问另外一个VLAN  只需稍稍改动）

下面配置扩展访问控制列表（由于功能配置相似，所以放在一个章节 便于区分他们的不同）

扩展访问控制列表 只是对应用服务的访问限制（例如：阻止一个网段不允许访问我WWW服务或FTP服务）！

由于实验要用到应用服务  我们把VLAN2 一台主机换成服务器  下面是TP！

配置都是一模一样！

接下来先看一下 用VLAN 5 访问VLAN2中的server2的HTTP 服务！

发现是可以访问的！ 现在我们来限制VLAN 5 访问 server2中的WEB服务！

下面是标准和扩展一个不一样的地方！而且这点也很重要

扩展ACL（访问控制列表） 我们做在离 访问方 越近越好！ 这里我们就应该放在 虚拟VLAN 5 口

接下来配置

Multilayer Switch1

Switch>enable
Switch#configure terminal 
Switch(config)#access-list 100 deny tcp 192.168.5.0 0.0.0.255 host 192.168.2.2 eq www

（拒绝192.168.5.0网段访问PC 192.168.2.2的WWW服务(这里也可以写80或HTTP)）
Switch(config)#access-list 100 permit ip any any     （拒绝了 要允许所有）
Switch(config)#interface vlan 5
Switch(config-if)#ip access-group 100 in

接下来发现

不通！

成功

原创：胡斌

我会从简单到难的发表一些我学过的知识，希望能给一些想入门的朋友帮助，也希望找一些志同道合的朋友、老师 给我些指教。 QQ 276200261！