您的访问地图正在按照您告诉它的方式进行操作。第二个条目匹配所有进出 RFC1918 地址空间（包括您的 vlan110！）的流量并将其丢弃。

您需要做的第一件事就是弄清楚您希望访问映射做什么。这就是我认为你想要的：

1. 允许您的 (RFC1918) 子网和 Internet 可路由空间（包括 DHCP 服务器）之间的流量
2. 拒绝您的 RFC1918 子网与其他 RFC1918 空间之间的流量，包括 vlan 内的流量。

我将假设这是一个访问子网/vlan，而不是一个传输子网/vlan。所以我只需要阻止进出分配给 vlan 的子网的流量。

假设您的 vlan110 子网是 192.168.1.0/24。

ip access-list extended vlan110-rfc1918
permit 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
permit 192.168.1.0 0.0.0.255 172.16.0.0 0.15.255.255
permit 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255
permit 172.16.0.0 0.15.255.255 192.168.1.0 0.0.0.255
permit 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255

vlan access-map VMAP-VLAN110 10
 match ip address vlan110-rfc
 action drop
vlan access-map VLAN-VLAN110 20
 action forward

您可能遇到的一个问题是无法在默认网关和子网中的主机之间进行通信。这可能会影响启用 ip helper 的 DHCP 续订等服务。

如果您只是试图阻止您的 VLAN 内的 VLAN 内通信，那么您的 ACL 会变得更加简单。再次假设 vlan110 是 192.168.1.0/24

ip access-list extended vlan110-intra-vlan
permit 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255

vlan access-map VMAP-VLAN110 10
 match ip address vlan110-intra-vlan
 action drop
vlan access-map VLAN0VLAN110 20
 action forward

我个人更喜欢避免使用 VACL。我将大部分 ACL 放在路由器第 3 层接口上，并且仅使用 VACL 来阻止 VLAN 内流量。VACL 很难维护和调试。