實驗環境：

網段規劃：
vlan 100：10.10.10.0 /24 閘道器 10.10.10.254 DNS：8.8.8.8
vlan 101：192.168.10.0/24 閘道器 192.168.10.254 DNS：8.8.8.8
配置Center
1、建立vlan
vlan 100
description bangong
vlan 101
description youke
2、配置trunk介面
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
3、建立虛介面並配置IP地址

ip pool youke
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8

interface Vlanif100
ip address 10.10.10.254 255.255.255.0
dhcp select global

interface Vlanif101
ip address 192.168.10.254 255.255.255.0
dhcp select global

配置Access1
vlan 100
description bangong
vlan 101
description youke

interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101

interface Ethernet0/0/3
port link-type access
port default vlan 100

interface Ethernet0/0/4
port link-type access
port default vlan 101

interface Ethernet0/0/5
port link-type access
port default vlan 100

配置Access2

vlan 100
description bangong
vlan 101
description youke

interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101

interface Ethernet0/0/3
port link-type access
port default vlan 100

interface Ethernet0/0/4
port link-type access
port default vlan 101

interface Ethernet0/0/5
port link-type access
port default vlan 100

將PC1 PC2 PC3 PC4ip地址設定為自動獲取，並驗證獲取到的地址






我們先互相ping一下游客和辦公網路，目前是互通的

我們在Center上定義ACL
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

traffic classifier 111
if-match acl 3000

traffic behavior 111
deny

traffic policy 111
classifier 111 behavior 111

traffic-policy 111 global inbound

我們再次互相ping遊客和辦公網路，已經不通了

同網段互相ping，可以訪問

由於我們的acl只是針對網路層做了限制，並沒有限制傳輸層，所以我們將FTP Server放入辦公網路，將FTP CLient放入遊客網路，驗證能否通

給FTP Server和FTP Client分配IP地址，並驗證能否ping通閘道器

開啟FTP Server功能

用客戶端訪問，TCP連線無法建立。說明定義ACL時，如果協議選擇IP，則四層不能通過。

但是，如果acl定義的協議為ICMP，則四層仍然能夠訪問。