华三H3C交换机VLAN与VLAN之间如何做三层隔离?H3C VLAN隔离 华三交换机vlan间三层隔
华三H3C交换机VLAN与VLAN之间怎么做三层隔离?相信很多新手同学在学习交换机配置的过程中会发现,当三层交换机配置了vlan接口IP地址之后,所有的VLAN之间就算是不同的网段也就互通了,那么我们如何配置H3C VLAN隔离呢?下面就给大家通过实例教程的方式做演示,帮助大家解决问题,本文主要讲解:高级ACL包过滤策略做VLAN间隔离。
方法步骤:
实验环境:H3C HCL模拟器
实验拓扑:
实验要求:VLAN 10端口所接的PC不能ping通 VLAN 20 30下的计算机
实验过程:
1、创建VLAN 10 20 30 三条VLAN,并配置VLAN接口地址
VLAN10:192.168.10.254/24
VLAN20:192.168.20.254/24
VLAN30:192.168.30.254/24
- //vlan 10配置
- vlan 10
- int vlan 10
- ip add 192.168.10.254 24
- //vlan 20配置
- vlan 20
- int vlan 20
- ip add 192.168.20.254 24
- //vlan 30配置
- vlan 30
- int vlan 30
- ip add 192.168.30.254 24
2、配置三台PC IP地址为静态IP地址
PC_1:192.168.10.1/24
PC_2:192.168.20.1/24
PC_3:192.168.30.1/24
这里我就只演示一张图片:
3、分别按照上面的拓扑图将交换机:g1/0/1、g1/0/2、g1/0/3 三个端口分别加入:VLAN 10 20 30,代码如下:
- vlan 10
- port g1/0/1
- vlan 20
- port g1/0/2
- vlan 30
- port g1/0/3
到此,VLAN10 20 30就互通了,如下图所示:
4、通过配置ACL 策略包过滤对VLAN进行隔离,创建高级acl 3000,并设置策略防止:192.168.10.0段和另外两个网段互通。
- acl advanced 3000
- rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
- rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
- int vlan 10
- packet-filter 3000 inbound
最终效果:
温馨提示:通过上面的实验相关配置,192.168.10.0网段就无法和其它VLAN下的两个网段PC互通了,但是,大家猜一下三条VLAN之间,还有哪些网段或IP地址能ping通?这个问题留给大家自行测试,这样有助于大家搞明白VLAN间通过ACL包过滤做隔离的原理,只有多练习、尝试不同的策略,才能加深和掌握H3C交换机的配置命令。
……