ACL适用于三层不同网段的场景，对于这种二层的场景就束手无策了，尤其是接入交换机是二层交换机的场景，此时需要配置vlan 内不同端口的隔离技术：port-isolate

port-isolate端口隔离特性
可以实现不同用户的端口属于同一个Vlan，但是不同用户之间不能二层互通，从而增强了网络的安全性，提供了灵活的组网方案，同时节省了大量的Vlan资源。

配置案例：

int gi 0/0/1

port-isolate enable group 1 （将1口加入隔离组1）

int gi 0/0/4

port-isolate enable group 1

需要注意的是：
1：处于相同隔离组的成员接口直接不能互相通信。

2：处于不同隔离组的接口可以互相通信

3：一个接口可以加入多个隔离组

4 ：隔离组本地有效（本台交换机上有效）