小弟现有道难题求助各位大侠！题目如下：

如下图：
两台PC（A，B）连在一台思科的2950交换机上。
A的IP为192.168.1.2/24    B的IP为192.168.2.2/24

2950的F0/1口与CISCO的Catalyst 4006 Supervisor II 的3/1口（即模块3的1口）相连。
4006的模块分别有
模块1    2口     1000BaseX Supervisor      WS-X4013            
模块2    34口    Router Switch Card        WS-X4232-L3         
模块3    48口    10/100BaseTx Ethernet     WS-X4148-RJ         
模块5    6口     1000BaseX Ethernet        WS-X4306-GB

4006上行再接路由器做NAT出因特网，这个不需要考虑。只需考虑4006及以下的设备的配置，
在4006上做三层交换。如何实现A，B能够访问因特网且禁止A，B之间的通信？？？

（注：4006 Supervisor II的命令行与经典的思科命令行有所不同，4006用"set"命令形式）

4006有三层交换的了，为什么还要加route 进行 NAT，直接在 4006上做就可以了 A、B过2950分别在 f0/1做 设置 vlan
在 模块2    34口    Router Switch Card        WS-X4232-L3   上设置路由，同时也路由模板上设置 ACL，使A B 不能通信就可以了。具体的我记不清了，但是原理是这样，你试一下行不行

在模块2上具体怎么做呢？
我做ACL的时候只能做到这一步：access-list 99 deny host 192.168.1.2   
也就是后面目的地址打不进去了。
还有这个ACL要应用到什么端口吗？
我不是很清楚4006那几个模块之间的关系！

我更正下，楼上所说有误

ACL可以做

做完ACL后需要应用到什么端口只类的吗？

我不清楚4006各个摸板之间的关系！

ACL尽可能做到需要控制的指定端口~~也就是A的插的交换端口~~二台电脑不能互相访问就用VLAN隔开就行了~~

引用:

原帖由 ldy198484 于 2007-7-25 10:06 发表
在模块2上具体怎么做呢？
我做ACL的时候只能做到这一步：access-list 99 deny host 192.168.1.2   
也就是后面目的地址打不进去了。
还有这个ACL要应用到什么端口吗？
我不是很清楚4006那几个模块之间的关系！

不用用到端口中，因为你是不想给他上网的，这样用标准  acl 就可以了。