有很多方法可以限制主机之间的第 2 层流量。VLAN ACL (VACL) 是一种方法。专用 VLAN (PVLAN) 是另一个，我将把它留给其他人来提供示例。

VLAN ACL 可在 L2 中用于过滤主机之间的桥接流量，或根据标准/扩展 IP/MAC ACL 和 VLAN 访问映射过滤路由进或出 VLAN 的 L3 流量。

rfc1518 地址的 L3 过滤器示例：

ip 访问列表扩展 rfc1518 ！定义常见的 rfc1518 网络
 允许 ip 10.0.0.0 0.255.255.255 任何
 允许 ip 172.16.0.0 0.15.255.255 任何
 允许 ip 192.168.0.0 0.0.255.255 任何
VLAN 访问映射 vacl-allow-rfc1518 ！定义 vlan 访问匹配/操作
 匹配ip地址rfc1518
 行动向前！转发 rfc1518 地址
vlan 过滤器 vacl-den-rfc1518 vlan-list 10 ！适用于 vlan 10

两个 MAC 主机的 L2 过滤器示例：

mac 主机 mac1 0000.1111.2222
mac 主机 mac2 3333.4444.5555
mac 访问列表扩展好坏 macs ！黄金三镖客
 拒绝主机 mac1 主机 mac2！mac1 到 mac2（丑陋）
 拒绝主机 mac2 主机 mac1！mac2 到 mac1（坏）
 允许任何任何！所有其他 mac（好）
vlan 访问映射 mac-talkers
 匹配 mac 地址好-坏-macs！让 mac acl 定义谁可以说话
 向前迈进
vlan 过滤器 mac-talkers vlan-list 10

结束时的隐式删除操作vlan access-map。