提问：如何禁止VLAN间互相访问？

 回答：VLAN之间的ACL配置

 步骤一：

 创建vlan10、vlan20、vlan30

S5750#conf ----进入全局配置模式

 S5750(config)#vlan 10 ----创建VLAN10

 S5750(config-vlan)#exit ----退出VLAN配置模式

 S5750(config)#vlan 20 ----创建VLAN20

 S5750(config-vlan)#exit ----退出VLAN配置模式

 S5750(config)#vlan 30 ----创建VLAN30

 S5750(config-vlan)#exit ----退出VLAN配置模式

 步骤二：

 将端口加入各自vlan

 S5750(config)# interface range gigabitEthernet 0/1-5 ----进入gigabitEthernet 0/1-5号端口

 S5750(config-if-range)#switchport access vlan 10 ----将端口加划分进vlan10

 S5750(config-if-range)#exit ----退出端口配置模式

 S5750(config)# interface range gigabitEthernet 0/6-10

----进入gigabitEthernet 0/6-10号端口

 S5750(config-if-range)#switchport access vlan 20 ----将端口加划分进vlan20

 S5750(config-if-range)#exit ----退出端口配置模式

 S5750(config)# interface range gigabitEthernet 0/11-15 ----进入gigabitEthernet 0/11-15号端口

 S5750(config-if-range)#switchport access vlan 30 ----将端口加划分进vlan30

 S5750(config-if-range)#exit ----退出端口配置模式

 步骤三：

 配置vlan10、vlan20、vlan30的网关IP地址

 S5750(config)#interface vlan 10 ----创建vlan10的SVI接口

 S5750(config-if)#ip address 192.168.10.1 255.255.255.0

----配置VLAN10的网关

 S5750(config-if)#exit ----退出端口配置模式

 S5750(config)#interface vlan 20 ----创建vlan10的SVI接口

 S5750(config-if)#ip address 192.168.20.1 255.255.255.0 ----配置VLAN10的网关

 S5750(config-if)#exit ----退出端口配置模式

 S5750(config)#interface vlan 30 ----创建vlan10的SVI接口

 S5750(config-if)#ip address 192.168.30.1 255.255.255.0 ----配置VLAN10的网关

 S5750(config-if)#exit ----退出端口配置模式

 步骤四：

 创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10

 S5750(config)#ip access-list extended deny30 ----定义扩展ACL

 S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

----拒绝vlan30的用户访问vlan10资源

 S5750(config-ext-nacl)#permit ip any any ----允许vlan30的用户访问其他任何资源

 S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式

 步骤五：

 将ACL应用到vlan30的SVI口in方向

 S5750(config)#interface vlan 30 ----创建vlan30的SVI接口

 S5750(config-if)#ip access-group deny30 in ----将扩展ACL应用到vlan30的SVI接口下