一台S5700的三层交换机，划分了几个VLAN，使用DHCP动态分发IP地址，拓扑图如下，想实现如下功能：

1、PC1与PC2，可以访问Server1—Server4，可以访问外网；

2、PC3，无法访问Server1—Server4，但是可以访问外网；

acl number 3002
description yf&mg+geli
rule 900 deny ip destination 10.70.2.0 0.0.0.255 \server1-4网段

traffic classifier yf&mg+geli operator and \这是策略名称，随便起，有意义、方便记就行
if-match acl 3002

traffic behavior yf&mg+geli
permit

traffic policy yf&mg+geli
classifier yf&mg+geli behavior yf&mg+geli

vlan 177 \访客的vlan下应用策略 将访客PC3所在端口加入访客vlan
traffic-policy yf&mg+geli inbound

对于S系列交换机（S1700除外），实现ip+mac绑定的三种方法：
一般情况下，在交换机实现IP+MAC绑定有三种方法，分别为：IPSG、ARP静态绑定和DHCP静态绑定。应用的场景和实现的功能各不相同，故在进行配置之前请先确认现网环境中需要的具体是哪一种功能。
以下针对此三种应用作一个简单说明。
场景一：防止终端用户私自修改IP，使用IPSG功能
实现原理：在全局配置一张绑定表，可以绑定IP、MAC、接口、VLAN中任意项，然后在相应端口或VLAN上开启IPSG功能。当PC的IP报文到达启用IPSG的端口或VLAN后，进行绑定表检查，若与绑定表不匹配，则丢弃；若匹配，则通过。

场景二：防止ARP欺骗（避免交换机上的ARP表项被伪造的ARP报文动态改写），使用ARP静态绑定
实现原理：静态ARP表项通过手工配置和维护，不会被老化，不会被动态ARP表项覆盖；可以限制和指定IP地址的设备通信时只使用指定的MAC地址，此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系，从而保护了本设备和指定设备间的正常通信。

场景三：DHCP分配IP时，为特定用户分配固定的IP，使用DHCP静态绑定
实现原理：对于一些特定的客户端（例如WWW服务器）需要静态分配固定IP地址，此时可以在DHCP服务器侧绑定IP地址和特殊客户端MAC地址。当DHCP服务器收到该特殊客户端的申请IP地址的请求时，则将与此客户端MAC绑定在一起的固定IP地址唯一地指定给该客户端。（DHCP服务器选择分配为客户端的IP地址时，优先选择与客户端MAC地址绑定的IP地址。）