在核心交换机上怎么配置只允许某些网段可以上网，另一部分不能上网？

在核心交换机上配置只允许特定网段上网，另一部分不能上网，可以通过以下步骤实现：

### 1. 创建访问控制列表（ACL）
首先，创建一个ACL来定义允许和拒绝的网段。

#### 1.1 创建标准或扩展ACL
- **标准ACL**：基于源IP地址过滤。
- **扩展ACL**：基于源IP、目的IP、协议和端口等更详细的过滤。

#### 1.2 示例配置
假设允许`192.168.1.0/24`上网，拒绝`192.168.2.0/24`上网。

```bash
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 deny ip 192.168.2.0 0.0.0.255 any
```

### 2. 应用ACL到接口
将ACL应用到交换机的出站或入站接口。

#### 2.1 应用到出站接口
假设要应用到连接互联网的接口`GigabitEthernet0/1`。

```bash
interface GigabitEthernet0/1
ip access-group 100 out
```

#### 2.2 应用到入站接口
如果希望从内部网络过滤，可以应用到入站接口。

```bash
interface Vlan10
ip access-group 100 in
```

### 3. 验证配置
使用以下命令验证ACL是否正确应用：

```bash
show access-lists
show ip interface GigabitEthernet0/1
```

### 4. 保存配置
确保配置保存，以便重启后仍生效。

```bash
write memory
```

### 注意事项
- **ACL顺序**：ACL按顺序匹配，第一条匹配的规则生效。
- **隐含拒绝**：ACL末尾通常有一条隐含的`deny any`规则，未明确允许的流量将被拒绝。
- **测试**：在生产环境应用前，建议在测试环境中验证配置。

通过这些步骤，你可以实现只允许特定网段上网，另一部分不能上网的需求。