配置IP Access List将无线网与有线网隔离

锐捷核心交换访问控制列表标号如下

S8605E(config)#access-list ?
  <1-99>       IP standard acl   标准访问控制列表
  <100-199>    IP extended acl  扩展访问控制列表
  <1300-1999>  IP standard acl (expanded range)  扩展范围的标准访问控制列表
  <2000-2699>  IP extended acl (expanded range)  扩展范围的扩展访问控制列表
  <2700-2899>  Expert extended access list 专家级扩展访问控制列表
  <700-799>    Mac extended access list  基于mac的访问控制列表

图为现网拓扑的一部分，全网无汇聚层，网络中有线、无线DHCP均在核心交换上做

有线VLAN配置

interface VLAN 401
 ip address 172.19.41.254 255.255.255.0

ip dhcp pool 401
 network 172.19.41.0 255.255.255.0
 dns-server 114.114.114.114 8.8.8.8 
 default-router 172.19.41.254

无线VLAN配置为

interface VLAN 2232
 ip address 172.20.232.254 255.255.252.0

ip dhcp pool 2232
 lease 0 4 0 
 network 172.20.232.0 255.255.252.0
 dns-server 211.137.130.3 211.137.130.19 
 default-router 172.20.232.254

核心上做条扩展访问控制列表

创建扩展控制列表，标号为199
ip access-list extended 199    
 
 序号11 拒绝ip源网段为172.20.232.0访问目的172.20.0.0网段
 11 deny ip 172.20.232.0 0.0.3.255 172.20.0.0 0.0.255.255     
 
 序号12 拒绝ip源网段为172.20.232.0访问目的172.19.0.0网段
 12 deny ip 172.20.232.0 0.0.3.255 172.19.0.0 0.0.255.255     
 
 20 permit ip any any     其他网段放行
!
创建访问控制列表计数器，统计命中包数量
ip access-list counter 199  

在SVI上的安全ACL仅对VLAN间的三层转发报文生效，而不对VLAN内的桥转发报文进行控制
svi router-acls enable

interface VLAN 2232
 ip access-group 199 in 最后在VLAN 2232上调用这个acl