需求一:实现一个交换机多个不同的网段(VLAN)可以互相通信。
例如:三个网段**192.168.10. – 192.168.11. – 192.168.12.-- ** 实现3个网段互通。
第一步:设置三个VLAN
#进入交换机配置界面
system-view # 简写 sys
#设置VLAN 10
vlan 10
quit
#设置VLAN 11
vlan 11
quit # 简写 qu
#设置VLAN 12
vlan 12
quit
第二步:设置三个虚拟接口
#VLAN10的虚拟接口
interface vlan 10
quit
#VLAN11的虚拟接口
interface vlan 11
quit
#VLAN12的虚拟接口
interface vlan 12
quit
第三步:端口绑定VLAN
#端口gigabitethernet 1/0/1
#进入端口配置
interface gigabitethernet 1/0/1
#添加vlan
port access vlan 11
#退出
quit
#端口gigabitethernet 1/0/2
interface gigabitethernet 1/0/2
port access vlan 12
quit
端口gigabitethernet 1/0/3
interface gigabitethernet 1/0/3
port access vlan 13
此时所有网段可以互相PIng 通。
需求二:限制某些网段(VLAN)之间不能通信。
例如:要让11段和12段不能互相通信。
第一种:ACL 添加访问限制列表到VLAN接口中。
#创建acl
acl advanced 3000
#编辑访问禁止条例
rule 1 deny ip source 192.168.12.0 0.0.0.255
#进入接口 vlan11
sys
Interface vlan 11
#简写 inter vl 11
#配置ACL给VLAN11接口
[H3C-Vlan-interface11] packet-filter 3011 outbound
[H3C-Vlan-interface11] quit
此时,11和12不能通讯,但是12可以ping通11的网关。
如果不想让网关通过,下面这种,创建一个禁止11段到12段的通讯,添加到11段和12段。
1.编辑一个ACL
#创建acl
acl advanced 3011
#编辑条例
rule 1 deny ip source 192.168.11.0 0.0.0.255 destination
192.168.12.0 0.0.0.255
#扩展
rule 1 permit ip source 192.168.12.0 0.0.0.255 # permit 允许
rule 1 deny ip source 192.168.12.0 0.0.0.255 # deny 禁止所有来自12段的
rule 1 deny ip source any #拒绝所有
rule 1 permit ip source any #允许所有
#退出acl
quit
#查看所有acl
display acl all
2.VLAN 接口启用ACL
#进入接口vlan11
sys
Interface vlan 11 // inter vl 11
#配置ACL给VLAN11接口
[H3C-Vlan-interface12] packet-filter 3011 inbound
[H3C-Vlan-interface12] quit
#进入接口 vlan12
sys
Interface vlan 12 // inter vl 12
#配置ACL给VLAN12接口
[H3C-Vlan-interface11] packet-filter 3011 outbound
[H3C-Vlan-interface11] quit
此时 11段和12段不能ping通,包括网关也不通。
还有一种是端口隔离的办法,模拟器上无法实现,正式用上在测试。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
