应用于端口的与应用VLAN的ACL

头近日让我做一个方案，让一个部门的部分的机器能上内外网，而一部分机器却只能上内外，外网是不能上的。更晕的还是有一个HUB。让我把HUB上一部分机器也做控制，（注意不是全部的，而是HUB的部分机器）。想了N久，做了几次实验，想做了一个方案：

一是在主交换上划一个单独的VLAN，然后在这个VLAN上写上特定的ACL，然后把相应机器上联端口划到这个VLAN。不过，这样的话，HUB上的控制就没办法了。

二是在相应的机器上联端口的应用ACL。

应用端口和应用VLAN的ACL，然后在联HUB的交换机上做基于源IP的ACL

access-list 102 permit tcp any 192.0.0.0 0.255.255.255
access-list 102 permit udp any 192.0.0.0 0.255.255.255
access-list 102 permit tcp any 172.0.0.0 0.255.255.255
access-list 102 permit udp any 172.0.0.0 0.255.255.255
access-list 102 deny ip any any

具体参考了CISCO.com中的2950 4506部分的资料，还有就是http://tech.ccidnet.com/pub/article/c317_a80784_p1.html

很不错，推荐想学ACL的人看看