H3C三层交换机配置VLAN之间不能互相访问

一 组网需求：1．SwitchA与SwitchB用trunk互连，相同VLAN的PC之间可以互访，不同VLAN的PC之间禁止互访；2．PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN 接口10的IP地址为10.1.1.254/24，VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。

二 组网图：1．VLAN内互访，VLAN间禁访1 实现VLAN内互访VLAN间禁访配置过程SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置：1．创建（进入）VLAN10，将E0/10加入到VLAN10[SwitchB]vlan 10[SwitchB-vlan10]port Ethernet 0/102．创建（进入）VLAN20，将E0/20加入到VLAN20[SwitchB]vlan 20[SwitchB-vlan20]port Ethernet 0/203．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1[SwitchB-GigabitEthernet1/1]port link-type trunk [SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20 2．通过三层交换机实现VLAN间互访2 通过三层交换机实现VLAN间互访的配置SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置：1．创建VLAN10[SwitchB]vlan 102．设置VLAN10的虚接口地址[SwitchB]interface vlan 10[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 3．创建VLAN20[SwitchB]vlan 204．设置VLAN20的虚接口地址[SwitchB]interface vlan 20[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0 5．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20。

实验名称：三层交换机VLAN的配置设备：NETGEAR GSM7312一、通过Web页面设置NETGEARGSM7312交换机Port-Base Vlan设置目标：增加2个Vlan:Vlan6(端口1)；Vlan7(端口12)，这2个Vlan间的用户不能互相访问，但可以通过共同端口11口访问路由器,其余端口保留在Vlan1，（只能访问到路由器，要上网还要在三层交换机上配置一条静态路由192.168.1.1）配置步骤•使用9针串口设置线连接GSM7312交换机，进入CLI配置界面，使用（GSM7312）# Clear Config命令恢复出厂设置。

•然后使用命令（GSM7312）#Reload ; 系统提示是否保存现有配置（选择YES）。

然后系统重新启动。

•配置GSM7312交换机管理IP地址为192.168.3.100/255.255.255.0,配置完毕后保存，命令为：network parms 192.168.3.100 255.255.255.0 192.168.3.1 •连接配置计算机的网线到GSM7312的端口10；//根据系统默认设置，连到没有被划分VLAN的端口都可以•打开IE浏览器，在URL处输入http://192.168.3.100/,进入交换机配置管理界面。

•点选菜单Switch>VLAN>config ;在VLAN Configuration界面的Default VLAN处选择进行端口配置，保留所有端口在VLAN1不动；•在VLAN Configuration界面的VLAN ID and Name处,下拉选择Create选项进行新的VLAN的创建。

8.在VLAN ID栏里输入6; VLAN Name处输入：VLAN6 ;VLAN type选:Static(缺省)然后，按住键盘CTRL的同时，用鼠标点在unTag栏目下点选端口1、11,然后点“Submit”按纽保存设置。

三层交换机vlan划分和访问控制策略方法一：配置基于端口的VLAN#创建vlan1并进入视图（连接ICG 2000 电信路由器及办公室，信息管理部）<H3C> system-view[H3C] vlan 1#向VLAN1 中加入端口Ethernet1/0/1 和Ethernet1/0/2。

将物理端口1、2划分为VLAN1 [H3C-vlan1] port Ethernet 1/0/1 Ethernet 1/0/2 （或者port e1/0/1 e1/0/2）# 创建VLAN2 并进入其视图<H3c>system-view[H3c] vlan 2#向VLAN2 中加入端口Ethernet1/0/3和Ethernet1/0/5。

[H3C-vlan2] port Ethernet 1/0/3 to Ethernet 1/0/5 （或者port e1/0/3 e1/0/5）# 创建VLAN3 并进入其视图<H3c>system-view[H3C] vlan 3# 向VLAN3 中加入端口Ethernet1/0/6和Ethernet1/0/10[H3C-vlan3] portEthernet 1/0/6 to Ethernet 1/0/10 （或者port e1/0/6 e1/0/10）二：IP 地址配置# 配置VLAN 1 的IP 地址。

<H3C> system-view[H3C] interface Vlan-interface 1[H3C-Vlan-interface1] ip address 192.168.1.1 255.255.255.0# 配置VLAN 2的IP 地址。

<H3C> system-view[H3C] interface Vlan-interface 2[H3C-Vlan-interface2] ip address 192.168.2.1 255.255.255.0# 配置VLAN 3 的IP 地址。

H3C交换机配置ACL禁⽌vlan间互访1、先把基础⼯作做好，就是配置VLAN，配置Trunk，确定10个VLAN和相应的端⼝都正确。

假设10个VLAN的地址分别是192.168.10.X，192.168.20.X。

192.168.100.X，与VLAN号对应。

2、为第⼀个VLAN 10创建⼀个ACL，命令为ACL number 2000这个2000号，可以写的数是2000-2999，是基本的ACL定义。

然后在这个ACL下继续定义rule，例如rule 1 deny source 192.168.20.0rule 2 deny source 192.168.30.0rule 3 deny source 192.168.40.0rule 4 deny source 192.168.50.0rule 5 deny source 192.168.60.0rule 6 deny source 192.168.70.0rule 7 deny source 192.168.80.0rule 8 deny source 192.168.90.0然后进⼊VLAN接⼝interface vlan 10在vlan 10接⼝下，启⽤上⾯定义的规则：packet-filter outbound ip-group 2000这应该就可以了，其它VLAN也按这个⽅法定义。

这⼀句：packet-filter outbound ip-group 2000 设备有可能不⽀持，那你就得换种⽅法定义ACL，使⽤3000-3999之间的扩展ACL定义：rule 1 deny destination 192.168.20.0....然后在vlan接⼝下启⽤packet-filter inbound ip-group 3000。

配置步骤：1实现VLAN内互访 VLAN间禁访配置过程SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20SwitchB相关配置：1．创建（进入）VLAN10，将E0/10加入到VLAN10[SwitchB]vlan 10[SwitchB-vlan10]port Ethernet 0/102．创建（进入）VLAN20，将E0/20加入到VLAN20[SwitchB]vlan 20[SwitchB-vlan20]port Ethernet 0/203．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1[SwitchB-GigabitEthernet1/1]port link-type trunk[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 202、通过三层交换机实现VLAN间互访的配置SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置：1．创建VLAN10[SwitchB]vlan 102．设置VLAN10的虚接口地址[SwitchB]interface vlan 10[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 3．创建VLAN20[SwitchB]vlan 204．设置VLAN20的虚接口地址[SwitchB]interface vlan 20[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0 5．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20。

配置步骤:1.VLAN配置<Quidway>sys /进入特权模式[Quidway]vlan 2 /建立vlan 2[Quidway]ctrl+z /退出vlan2 到普通模式<Quidway>sys /进入特权模式[Quidway]vlan 3 /建立vlan 3[Quidway]ctrl+z /退出vlan3 到普通模式<Quidway>sys /进入特权模式[Quidway]int vlan 2 /进入到vlan2[Quidway-Vlan-interface2]ip address 192.168.2.1 255.255.255.0 /给vlan 2 配置IP[Quidway-Vlan-interface2]ctrl+z /退出vlan2 到普通模式<Quidway>sys /进入特权模式[Quidway]int vlan 3 /进入到vlan3[Quidway-Vlan-interface2]ip address 192.168.3.1 255.255.255.0 /给vlan 3 配置IP[Quidway-Vlan-interface2]ctrl+z /退出vlan3 到普通模式<Quidway>sys /进入特权模式[Quidway]int g2/0/1 /进入到g2/0/1端口[Quidway-GigabitEthernet2/0/1]port access vlan 2 / 将该端口添加到vlan 2 [Quidway-GigabitEthernet2/0/1]ctrl+z /退出vlan 2 到普通模式<Quidway>sys /进入特权模式[Quidway]int g2/0/2 /进入到g2/0/2端口[Quidway-GigabitEthernet2/0/1]port access vlan 3 / 将该端口添加到vlan 3 [Quidway-GigabitEthernet2/0/1]ctrl+z /退出vlan 3 到普通模式2.ACL配置<Quidway>sys /进入特权模式[Quidway]acl number 3015 /建立acl 编号取为3015,该编号可以任意取[Quidway-acl-adv-3015]rule deny source 192.168.2.0 0.0.0.255 destination 192.168.3.00.0.0.255 /定义192.168.2.0 的ip段不能访问192.168.3.0 网段,反之也一样. [Quidway-acl-adv-3015]ctrl+z /退出当前acl 到普通模式<Quidway>sys /进入特权模式[Quidway]int g2/0/1 /进入到g2/0/1端口[Quidway-GigabitEthernet2/0/1]packet-filter inbound ip-group 3015not-care-for-interface /将定义好的acl 3015下发到整台交换机中,让整台交3.Trunk配置网络环境:6506 g2/0/4多模光口接3026 g1/1 多模光口3026 建立两个VLANvlan 5 192.168.5.1 255.255.255.0 (原来的用户继续使用,即端口9-24)vlan 6 192.168.6.1 255.255.255.0 (用于财务1-8口)不允许任何VLAN访问VLAN 6步骤：6506 上的配置步骤如下：sys /进入特权vlan 5 /建立两个VLAN，即3026上所要建立的VLAN，必须同名vlan 6 /建立两个VLAN，即3026上所要建立的VLAN，必须同名int vlan 5 /进入到vlan 5ip add 192.168.5.1 255.255.255.0 /配置vlan 5 的IP地址int vlan 6 /进入到vlan 6ip add 192.168.6.1 255.255.255.0 /配置VLAN 6 的IP地址interface g2/0/4 /进入到端口port link-type trunk /配置端口工作在Trunk模式port trunk permit vlan 5 /允许vlan 5通过port trunk permit vlan 6 /允许vlan 6能过speed 1000 /配置速度duplex full /工作模式全双工acl number 3001 /定义一条ACL，不允许任何VLAN访问VLAN 6rule deny ip source any destination 192.168.6.0 0.0.0.255 /定久任何IP不能访问192.168.6.0网段int g2/0/4 /进入到端口packet-filter inbound ip-group 3001 /将ACL应用到端口3026配置步骤如下：sys /进入特权vlan 5 /建立vlan 5,必须和6506上的相同vlan 6 /建立vlan 6,必须和6506上的相同int g1/1 /进入到g1/1口port link-type trunk /配置端口工作在Trunk模式port trunk permit vlan 5 /允许vlan 5通过port trunk permit vlan 6 /允许vlan 6能过speed 1000 /配置速度duplex full /工作模式全双工int e0/1 /进入端口port access alvn 6 /将端口添加到vlan 6里int e0/23 /进入端口port access vlan 5 /将端口添加到vlan 5里。

一组网需求：1．Switch‎A与Swit‎c hB用tr‎u nk互连，相同VLAN‎的PC之间可‎以互访，不同VLAN‎的PC之间禁‎止互访；2．PC1与PC‎2之间在不同‎V LAN，通过设置上层‎三层交换机S‎w itchB‎的VLAN接‎口10的IP‎地址为10.1.1.254/24，VLAN接口‎20的IP地‎址为20.1.1.254/24可以实现‎V LAN间的‎互访。

二组网图：1．VLAN内互‎访，VLAN间禁‎访一、实现VLAN‎内互访VLA‎N间禁访配置‎过程Switch‎A相关配置：1．创建（进入）VLAN10‎，将E0/1加入到VL‎A N10[Switch‎A]vlan 10[Switch‎A-vlan10‎]port Ethern‎e t 0/12．创建（进入）VLAN20‎，将E0/2加入到VL‎A N20[Switch‎A]vlan 20[Switch‎A-vlan20‎]port Ethern‎e t 0/23．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20Switch‎B相关配置：1．创建（进入）VLAN10‎，将E0/10加入到V‎L AN10[Switch‎B]vlan 10[Switch‎B-vlan10‎]port Ethern‎e t 0/102．创建（进入）VLAN20‎，将E0/20加入到V‎L AN20[Switch‎B]vlan 20[Switch‎B-vlan20‎]port Ethern‎e t 0/203．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎B]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎B-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎B-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20二、通过三层交换‎机实现VLA‎N间互访通过三层交换‎机实现VLA‎N间互访的配‎置Switch‎A相关配置：1．创建（进入）VLAN10‎，将E0/1加入到VL‎A N10[Switch‎A]vlan 10[Switch‎A-vlan10‎]port Ethern‎e t 0/12．创建（进入）VLAN20‎，将E0/2加入到VL‎A N20[Switch‎A]vlan 20[Switch‎A-vlan20‎]port Ethern‎e t 0/23．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20Switch‎B相关配置：1．创建VLAN‎10[Switch‎B]vlan 102．设置VLAN‎10的虚接口‎地址[Switch‎B]interf‎a ce vlan 10[Switch‎B-int-vlan10‎]ip addres‎s 10.1.1.254 255.255.255.03．创建VLAN‎20[Switch‎B]vlan 204．设置VLAN‎20的虚接口‎地址[Switch‎B]interf‎a ce vlan 20[Switch‎B-int-vlan20‎]ip addres‎s 20.1.1.254 255.255.255.05．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20。