不知道大家有没有这样的需求，就是我们的dmz区域，可以使用防火墙和其他区域隔离，但实际使用过程中，防火墙策略配置起来还是比较繁琐，具体就是策略数目太多，一眼看上去不清晰。那么在交换机上面是不是可以实现可视感观比较好的功能呢？
交换机通过acl也就是包过滤去实现
创建 acl number 3001 名称为External_services
acl number 3001 name External_services

以下两行分别拒绝掉所有去往10.0.11.0和10.0.10.0 这两个网段的tcp访问请求，注意UDP是不拒绝的

rule 1998 deny tcp destination 10.0.11.0 0.0.0.255 syn 1 ack 0
rule 1999 deny tcp destination 10.0.10.0 0.0.0.255 syn 1 ack 0

以下是服务器ip地址为分别 10.0.10.1开放了443；10.0.11.1开放了80端口

rule 10 permit tcp destination 10.0.10.1 0 destination-port eq 443
rule 15 permit tcp destination 10.0.11.1 0 destination-port eq www

这样的好处就是哪个服务器需要开放哪个端口对外提供服务就写rule 条目放行，按需配置。交换机acl 条件相对也说比较清晰

最后需要在接口上面调用acl number 3001，这个接口可以理解成服务器的总出口，方向为inbound，我这个是三层接口
interface Route-Aggregation1
description to_R1
ip address 192.168.20.130 255.255.255.128
packet-filter 3001 inbound

大家有兴趣可以动手试验下，我感觉还是挺实用的，谢谢！