H3C ER8300G2-X 路由器 限制访问外网

H3C ER8300G2-X 路由器 MAC过滤功能启用比设置了黑名单，但黑名单的MAC设备并不起作用（可以访问外网）

H3C ER8300G2-X 主路由器下接 H3C S5560 核心交换机（划分VLAN1,VLAN2,VLAN3) 下接H3C S5048PV4-EI 交换机（对应VLAN）

现在要设置VLAN1下部分设备不能上外网（允许内网），通过H3C ER8300G2-X设置MAC过滤黑名单并不起作用。

H3C ER8300G2-X固件版本

大伙的回复都是三层架构，这个功能不能正常使用。

那么问题来了，我怎么实现这些电脑能访问内网，而不上传数据到外网。

方法1、我首先想到的是，将这些不需要外网的电脑，不设置网关与DNS，这样肯定上不了外网，但也有疑问，所有协议走的数据虽然不能访问外网，它是否还会将数据发送至主路由，然后路由将这部分数据上传至外网，只是不上外网这些电脑不能收到数据而已。

方法2、通方法1一样，只是多增了个，在内网（能外网PC）构建一个sock代理服务器，不上外网的这些机器通过代理上部分软件（比如：浏览器、QQ），这样不上外网的电脑既能做到不上外网，又能做到部分软件（比如：浏览器、QQ）访问外网，疑问还是同方法1。

方法3、我再VLAN1下搞个软路由，然后在软路由里设置ACL规则，禁止下接的交换机不上外网（需要更改现有架构）。

方法4、在现有的H3C S5560 核心交换机里设置ACL规则，但已经试过了，不起作用。

或者大伙有什么好办法，麻烦告知下，多谢拉。