配置隔离组使二层之间不能相互通信，但都可以与外部通信

隔离组是指网络中的一个逻辑分组，通过它可以规定一组设备之间的通信规则，所以可以实现二层之间不能相互通信，但是都可以与外部通信的需求。

本文将介绍如何配置隔离组使二层之间不能相互通信，但都可以与外部通信，具体步骤如下：

步骤一：创建 VLAN

首先，我们需要创建两个 VLAN，一个是内部 VLAN，一个是外部 VLAN，它们分别对应内部网络和外部网络。

内部 VLAN 用于连接需要隔离的设备，我们将隔离设备连接到内部 VLAN，这些设备只能与外部网络通信，无法互相通信。

外部 VLAN 用于连接外部网络，例如互联网，它能够提供外部通信服务。在外部 VLAN 中，我们需要配置一个默认网关，使内部 VLAN 的设备可以与外部网络通信。

步骤二：配置端口

接下来，我们需要配置网络交换机上的端口，将有需求隔离的设备连接到内部 VLAN 上。我们需要将这些端口加入内部 VLAN，同时禁止这些端口与其他内部 VLAN 上的设备进行通信。

例如，我们可以将端口 1 和 2 加入内部 VLAN 10，将端口 3 和 4 加入外部 VLAN 20。然后，我们需要针对内部 VLAN 10 中的端口配置 Access 端口，同时将 VLAN ID 配置为 10。对于外部 VLAN 20 中的端口，我们需要配置 Trunk 端口来支持多种 VLAN。

步骤三：创建 ACL 规则

我们需要创建两条 ACL 规则，一条规则允许内部 VLAN 到外部 VLAN 的流量通过，一条规则禁止内部 VLAN 到内部 VLAN 的流量通过。

例如，我们可以创建以下两条 ACL 规则：

Permit any any VLAN 10 VLAN 20

Deny any any VLAN 10 VLAN 10

这两条规则的作用是：

条规则允许内部 VLAN（即 VLAN 10）中的任何设备向外部 VLAN（即 VLAN 20）中的任何设备发送流量。

第二条规则禁止内部 VLAN（即 VLAN 10）中的任何设备向另一个内部 VLAN（即 VLAN 10）的任何设备发送流量。

步骤四：应用隔离组

最后，我们需要将创建的 ACL 规则应用到隔离组中，并将隔离组应用到网络交换机上。

例如，我们可以通过以下命令将上述 ACL 规则应用到隔离组并应用到网络交换机上：

Switch(config)# ip access-list extended IsolateGroup_Inbound

Switch(config-ext-nacl)# permit ip any any VLAN 10 VLAN 20

Switch(config-ext-nacl)# deny ip any any VLAN 10 VLAN 10

Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map IsolateGroup_Inbound 10

Switch(config-access-map)# match ip address IsolateGroup_Inbound

Switch(config-access-map)# action drop

Switch(config-access-map)# exit

Switch(config)# vlan filter IsolateGroup_Inbound vlan-list 10

这些命令的作用是：

行命令创建了一个名为 IsolateGroup_Inbound 的 ACL 规则，该规则允许内部 VLAN 到外部 VLAN 的流量通过，禁止内部 VLAN 到内部 VLAN 的流量通过。

第二至四行命令创建了一个名为 IsolateGroup_Inbound 的隔离组，并将 ACL 规则应用到该组中。

第五行命令将隔离组应用到内部 VLAN，禁止内部 VLAN 中的设备之间互相通信。

通过以上步骤，我们可以创建一个隔离组，让内部 VLAN 的设备之间不能相互通信，但是都可以与外部网络通信。这样，我们可以保护内部网络的安全，同时保持与外部网络的连接。