一、组网需求

  只允许vlan 2网段的数据通过g0/24上网，其他网段不允许。

二、组网拓扑

三、配置要点

 1） ACL默认最后有一条deny any，故允许（permit）的ACL应该写在上面。若是禁止某网段访问，其他网段均放通，则应该在最后加一条permit any。

 2）标准的ACL只匹配源IP地址；

 3）标准的ACL号是从1-99和1300-1999；

 4）如果是单个IP地址，可写为access-list 1 permit host 192.168.1.1

 四、配置步骤

注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以千兆接口为例。

1）配置vlan 、svi口地址（vlan网关），接口划分到相应vlan里：

        1.1）新建vlan 2、3

Ruijie>enable 

Ruijie#configure terminal

       Ruijie(config)#vlan 2  ------>创建vlan 2

       Ruijie(config-vlan)#exit

       Ruijie(config)#vlan 3

       Ruijie(config-vlan)#exit

       1.2）划分接口到相应vlan下

     Ruijie(config)#interface GigabitEthernet 0/22

        Ruijie(config-if-GigabitEthernet 0/22)# switchport access vlan 2

        Ruijie(config)#interface GigabitEthernet 0/23

        Ruijie(config-if-GigabitEthernet 0/23)# switchport access vlan 3  ------>把交换机的第23个千兆接口划入到vlan 3

        1.3）配置vlan2和vlan3的svi口地址

        Ruijie(config)#interface vlan 2

        Ruijie(config-if-VLAN 2)#ip address 192.168.2.254 255.255.255.0  ------>配置vlan 2的网关地址

        Ruijie(config-if-VLAN 2)#exit

        Ruijie(config)#interface vlan 3

        Ruijie(config-if-VLAN 3)#ip address 192.168.3.254 255.255.255.0   ------>配置vlan 3的网关地址

        Ruijie(config-if-VLAN 3)#exit

2）配置g0/24为路由口：

        Ruijie(config)#interface GigabitEthernet 0/24

        Ruijie(config-if-GigabitEthernet 0/24)#no switchport   ------>把交换机的第二十四千兆接口属性改成路由接口

        Ruijie(config-if-GigabitEthernet 0/24)#ip address 172.16.1.1 255.255.255.0   ------>配置ip地址

3）配置默认路由：

       Ruijie(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2   ------>配置默认路由

4）配置标准ACL，并在g0/24调用：

      Ruijie(config)#access-list 1 permit 192.168.2.0 0.0.0.255       ---->序列1~99标准的ACL，指定源地址，只允许VLAN2网段192.168.2.0/24网段

      Ruijie(config)#access-list 1 deny any    ------> 默认有一条deny any的条目

Ruijie(config)#interface GigabitEthernet 0/24

Ruijie(config-if-GigabitEthernet 0/24)#ip access-group 1 in------>在G0/24接口的in方向应用ACL

5）保存配置

Ruijie(config-if-GigabitEthernet 0/24)#end    

Ruijie#write        ------> 确认配置正确，保存配置

五、验证命令

     Ruijie#show access-lists 1    查看ACL的配置

              ip access-list standard 1

              10 permit 192.168.2.0 0.0.0.255

              20 deny any

Ruijie#show ip access-group    查看ACL在接口下的应用

ip access-group 1 in

Applied On interface GigabitEthernet 0/24.