例如：
某部门要求只能使用 WWW 这个功能 ， 就可以通过ACL实现；
又例如 ， 
为了某部门的保密性 ， 不答应其访问外网 ， 也不答应外网访问它 ， 就可以通过ACL实现 。
那么我们来看下实例 ， 如何实现使用 ACL 限制内网主机访问外网 。
1、案例
某公司通过交换机实现各部门之间的互连 。现要求Switch能够禁止研发部和市场部的部分主机访问外网 ， 防止公司机密泄露 。以华为例 。
1、拓扑图
2、配置思路
采用如下的思路在Switch上进行配置：
1、配置基本ACL和基于ACL的流分类 ， 使设备可以对研发部与市场部的指定主机的 报文进行过滤 。
2、配置流行为 ， 拒绝匹配上ACL的报文通过 。
3. 配置并应用流策略 ， 使ACL和流行为生效 。
步骤1 配置接口所属的VLAN以及接口的IP地址
# 创建VLAN10和VLAN20 。
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE0/0/1、GE0/0/2为trunk类型接口 ， 并分别加入VLAN10和 VLAN20；配置Switch的接口GE0/0/3为trunk类型接口 ， 加入VLAN10和VLAN20 。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 创建VLANIF10和VLANIF20 ， 并配置各VLANIF接口的IP地址 。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
这里面普及下vlanif接口和vlan端口的区别：
（1）vlan端口：是物理端口 ， 通常我们通过配置access vlan 10 使某个物理接口属于vlan 10
（2）vlan if ：interface vlan 是逻辑端口 ， 通常这个接口地址作为vlan下面用户的网关 。
步骤2 配置ACL
# 创建基本ACL 2001并配置ACL规则 ， 拒绝源IP地址为10.1.1.11和10.1.2.12的主机的报 文通过 。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0//禁止IP地址为10.1.1.11的主机访问外网
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //禁止IP地址为10.1.2.12的主机访问外网
[Switch-acl-basic-2001] quit
步骤3 配置基于基本ACL的流分类
#配置基于基本ACL的流分类 # 配置流分类tc1 ， 对匹配ACL 2001的报文进行分类 。
[Switch] traffic classifier tc1//创建流分类
[Switch-classifier-tc1] if-match acl 2001//将ACL与流分类关联
[Switch-classifier-tc1] quit
步骤4 配置流行为
# 配置流行为tb1 ， 动作为拒绝报文通过 。
[Switch] traffic behavior tb1//创建流行为
[Switch-behavior-tb1] deny//配置流行为动作为拒绝报文通过[Switch-behavior-tb1] quit
步骤5 配置流策略
# 定义流策略 ， 将流分类与流行为关联 。
[Switch] traffic policy tp1 //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit
步骤6 在接口下应用流策略
# 由于内网主机访问外网的流量均从接口GE0/0/3出口流向Internet ， 所以可以在接口 GE0/0/3的出方向应用流策略 。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound//流策略应用在接口出方向
[Switch-GigabitEthernet0/0/3] quit
3、验收配置结果
IP地址为10.1.1.11和10.1.2.12的主机无法访问外网 ， 其他主机均可以访问外网 。
标签：内外网切换ruote命令acl访问控制列表

• 如何设置静态路由与网关？使内外网同时访问
• 运动中突发腹痛如何处理
• 抖音评论为什么发不了图片 内测功能在哪里申请
• 如何禁止外网访问公司内网服务器？ACL配置立马解决
• 海内弱电工程师的机房施工图片，这理线布线工艺太美了
• 建一个 5G 基站，到底要花多长钱
• 红酒产品策略,红酒渠道策略
• 大雄宝殿内有哪三尊佛
• 行李箱怎么放衣服最省空间 内部怎么清洗
• 跟邻居门对门五帝钱挂在门内好不好