前提条件：实现底层互通

转发层面

1、基本ACL

①要求PC3不能访问网段192.168.2.0的网段，PC4和客户端能正常访问服务器

②AR2配置

acl 2000
rule deny source 192.168.1.1 0       匹配流量
int g 0/0/0
traffic-filter inbound acl 2000      接口调用acl

③测试：PC3不能访问网段192.168.2.0的网段，PC4和客户端正常访问服务器；路由不受影响，控制转发层面流量，不影响控制层面

2、高级ACL

①需求：客户端不能访问服务器的FTP服务，但是不影响其他流量

②AR3配置

acl number 3000  
 rule 5 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.2 0 destination-port eq ftp 
interface GigabitEthernet0/0/0
 traffic-filter inbound acl 3000

出方向：interface GigabitEthernet0/0/1
 traffic-filter outbound acl 3000

③测试：

控制层面

1、需求：AR2不学习从AR1传过来的192.168.2.0/24的路由，其他路由正常传递

2、AR2配置

acl number 2001  
 rule 5 deny source 192.168.2.0 0 
 rule 10 permit                       放行其他路由
#
ospf
 filter-policy 2001 import

3、查看路由表：没有192.168.2.0/24的路由，11.1.1.0/30不受影响

二、二层ACL

①要求：PC1不能访问网段192.168.2.0的网段，PC2和客户端能正常访问服务器

②LSW2配置

acl 4000
rule deny source-mac 5489-98DC-3DA5  匹配源MAC地址
int g 0/0/1
traffic-filter inbound acl 4000

③测试：PC1不能访问网段192.168.2.0的网段，PC2和客户端正常访问服务器；路由不受影响，控制转发层面流量，不影响控制层面