置ACL，限制vlan 10和vlan 20之间的通信。 1. 创建三个vlan 在三层交换机上进入全局配置模式，使用以下命令创建三个vlan： vlan 10 name vlan10 vlan 20 name vlan20 vlan 30 name vlan30 2. 配置DHCP服务器 在三层交换机上进入全局配置模式，使用以下命令配置DHCP服务器： ip dhcp pool vlan10 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 8.8.8.8 ip dhcp pool vlan20 network 192.168.20.0 255.255.255.0 default-router 192.168.20.1 dns-server 8.8.8.8 ip dhcp pool vlan30 network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 dns-server 8.8.8.8 3. 配置路由 在三层交换机上进入全局配置模式，使用以下命令配置路由： ip routing interface vlan10 ip address 192.168.10.1 255.255.255.0 interface vlan20 ip address 192.168.20.1 255.255.255.0 interface vlan30 ip address 192.168.30.1 255.255.255.0 4. 配置ACL 在三层交换机上进入全局配置模式，使用以下命令配置ACL： ip access-list extended vlan10-to-vlan20 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any interface vlan10 ip access-group vlan10-to-vlan20 out interface vlan20 ip access-group vlan10-to-vlan20 in 以上配置完成后，vlan 10、vlan 20、vlan 30的主机能自动获取ip地址，并且内网互通，但是vlan 10和vlan 20之间的通信被限制。