图1 网络结构图

测试方式

对二层交换机进行VLAN划分，隔离业务，访问控制内容定义到接入层的路由器上；对三层交换机基于端口划分VLAN、定义网关并进行各业务间的访问控制设定。对交换机进行配置的过程略。

在R2611访问控制内容不变的情况下，对S3526AC进行逐条访问控制命令添加，测试各业务间的隔离情况，各机器之间相互ping通试验。

测试内容

首先，在S3526-AC上添加ACL 100后，PCA与PCB、PCC不通， PCB与PCC通；然后，添加ACL 101后，PCA与PCB通， PCB与PCC不通；最后，添加ACL 102后，PCA、PCB、PCC之间全通。试验隔离不成功。经过多次修改控制内容，将S3526-AC的访问控制内容修改则隔离成功。

发现的问题及解决的方式

通过对S3526-AC进行的两次访问控制内容比较，发现访问控制命令中的源地址的反掩码必须与目的地址的反掩码对应匹配才行。如果将访问控制内容的源、目的地址反掩码比较位定义到24位，根据我公司的网络情况与业务需求，访问控制条数将变得非常庞大，实际应用与维护操作都变得很困难；如果将访问控制内容的源、目的地址反掩码比较位都定义到16位，则S3526-AC下各端口访问控制容易出现控制漏洞。

根据S3526-AC已设置好的内容，相应的改变三台PC机的地址，直接接到S3526-AC上，重复测试过程，结果与上面的试验情况相同。根据在R2611下进行的访问控制试验，在R2611上不存在源、目的地址反掩码比较位匹配问题，可以将源地址反掩码比较位与目的地址反掩码比较位设置不同长度，能汇聚访问控制的命令条数。将S3526-AC上只设置二层功能，三层上的子接口与访问控制功能设置在R3640E上，结果各业务访问控制试验成功。