小弟现有道难题求助各位大侠！题目如下：

如下图：
两台PC（A，B）连在一台思科的2950交换机上。
A的IP为192.168.1.2/24    B的IP为192.168.2.2/24

2950的F0/1口与CISCO的Catalyst 4006 Supervisor II 的3/1口（即模块3的1口）相连。
4006的模块分别有
模块1    2口     1000BaseX Supervisor      WS-X4013            
模块2    34口    Router Switch Card        WS-X4232-L3         
模块3    48口    10/100BaseTx Ethernet     WS-X4148-RJ         
模块5    6口     1000BaseX Ethernet        WS-X4306-GB

4006上行再接路由器做NAT出因特网，这个不需要考虑。只需考虑4006及以下的设备的配置，
在4006上做三层交换。如何实现A，B能够访问因特网且禁止A，B之间的通信？？？

（注：4006 Supervisor II的命令行与经典的思科命令行有所不同，4006用"set"命令形式）

4006有三层交换的了，为什么还要加route 进行 NAT，直接在 4006上做就可以了 A、B过2950分别在 f0/1做 设置 vlan
在 模块2    34口    Router Switch Card        WS-X4232-L3   上设置路由，同时也路由模板上设置 ACL，使A B 不能通信就可以了。