思科控制列表问题，2个vlan为了安全设置了相互不能访问，后来要求2个网段其中的2个IP可以相互访问。

你好！

在核心交换机做如下ACL访问控制：

enable
config t
access-list 100 permit ip host 10.10.1.12 host 10.10.2.12
interface vlan 10
ip access-group 100 in

这样的话，只要有流量进入vlan 10，只允许10.10.2.12这个IP能访问10.10.1.12这个IP（并且ping不通vlan 10网关），其余只要跨vlan拒绝一切。在vlan 10，只允许10.10.1.12这个IP访问10.10.2.12这个IP（可以pingVLAN 10和20的网关），其余只要跨vlan拒绝一切。

如果想要10.10.1.0/24网段ping得通vlan 10网关。需要加入一条ACL

enable
configure terminal
access-list 100 permit ip host 10.10.1.12 host 10.10.2.12

access-list 100 permit icmp 10.10.1.0 0.0.0.255 host 10.10.1.1
interface vlan 10
ip access-group 100 in

希望你能懂！