三层交换机配置ACL（访问控制列表）说明：书本上讲述的ACL主要是应用在路由器上，但现在三层交换机在大中型企业中的应用越来越广泛，三层交换机因拥有路由器的功能而逐渐代替路由器。ACL访问控制列表是构建安全规范的网络不可缺少的，但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。试验拓扑介绍：三层交换机上配置本地Vlan实现下层接入层交换机不同Vlan互通。F0/1192.168.70.2（开启路由功能）路由器上配置FF0/1192.168.70.1试验步骤：1、在二层交换机上把相应的PC加入VLAN查看交换机Switch0Switch0(config)#showrun！interfaceFastEthernet0/1switchportaccessvlan2!interfaceFastEthernet0/2switchportaccessvlan3!查看交换机Switch1Switch1#showrun!interfaceFastEthernet0/3switchportaccessvlan4!interfaceFastEthernet0/4switchportaccessvlan5!2、在三层交换机上配置相应的本地VALNSwitch(config)#intervl2Switch(config-if)#noshutSwitch(config)#intervl3Switch(config-if)#noshutSwitch(config)#intervl4Switch(config-if)#noshutSwitch(config)#intervl5Switch(config-if)#noshutSwitch(config-if)#exi在接口itnerfacef0/1上开启路由接口Switch(config)#interf0/1Switch(config-if)#noswitchport3、在二层交换机和三层交换机之间开启中继链路4、在路由器和三层交换机上配置动态路由协议RIPRouter（config）#routerripRouter（config）#Router（config）#三层交换机上配置Switch(config)#routerripSwitch(config-router)#neSwitch(config-router)#5、验证各PC互通Pinging192.168.30.20with32bytesofdata:Requesttimedout.Replyfrom192.168.30.20:bytes=32time=110msTTL=126Replyfrom192.168.30.20:bytes=32time=110msTTL=126Replyfrom192.168.30.20:bytes=32time=125msTTL=126Pingstatisticsfor192.168.30.20:Packets:Sent=4,Received=3,Lost=1(25%loss),Approximateroundtriptimesinmilli-seconds:Minimum=110ms,Maximum=125ms,Average=115msPinging192.168.40.30with32bytesofdata:Replyfrom192.168.40.30:bytes=32time=94msTTL=126Replyfrom192.168.40.30:bytes=32time=125msTTL=126Replyfrom192.168.40.30:bytes=32time=125msTTL=126Replyfrom192.168.40.30:bytes=32time=109msTTL=126Pingstatisticsfor192.168.40.30:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=94ms,Maximum=125ms,Average=113ms6、在三层交换机上配置ACL注意如果设置不同VALN的PC之间不能互通，则应用的接口应为VLAN对应的本地Llan接口。设置PC1不能ping通PC3和PC4应用于接口Switch(config)#intervl4Switch(config-if)#ipaccess-group10out