需求：一个vlan下分配了两个ip：192.168.1.1和192.168.2.1 sub，分配到192.168.1.1段的ip禁止互相访问。192.168.2.1不受影响。

1. 进入系统视图：

   system-view

2. 配置VLAN接口的IP地址：

   • 假设您的VLAN16接口是Vlanif16，您需要配置两个IP地址：

     vlan 16
     int vlan 16
     ip address 192.168.1.1 255.255.255.0
     ip address 192.168.2.1 255.255.255.0 sub

3. 创建并配置ACL：

   • 定义一个ACL规则，拒绝192.168.1.0/24网段之间的访问：

     acl number 3000
     rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

   • 这个规则会拒绝源IP和目的IP都在10.16.51.0/24网段之间的所有IP包。

4. 将ACL应用到接口上：

   • 进入接口GigabitEthernet0/0/1，将ACL应用接口的入方向：

     interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 16
     traffic-filter inbound acl 3000

   • 这条命令将ACL 3000应用到接口GigabitEthernet0/0/1的入方向，拒绝10.16.51.0/24网段之间的流量。