当前位置：文档库 › H3C配置实例]三层交换机VLAN间限制通讯

H3C配置实例]三层交换机VLAN间限制通讯

需求：组网和vlan分配如图所示，要求vlan 10、20、30均可以访问server 1(VLAN100)，但是只有vlan 10和vlan 20可以访问server 2(VLAN200)，同时vlan 10、20、30之间不能互访。 -

1.创建（进入）vlan10 -

-

[SwitchA] vlan 10 -

[SwitchA]port e 4/0/1 -

-

2.创建（进入）vlan10的虚接口 -

-

[SwitchA] interface Vlan-interface 10 -

-

3.给vlan20的虚接口配置IP地址 -

-

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.0.0 -

-

4.创建（进入）vlan20 -

-

[SwitchA] vlan 20 -

[SwitchA]port e 4/0/2 -

-

5.创建（进入）vlan20的虚接口 -

-

[SwitchA] interface Vlan-interface 20 -

-

6.给vlan20的虚接口配置IP地址 -

-

[SwitchA-Vlan-interface20]ip address 10.20.1.1 255.255.0.0 -

-

7.创建（进入）vlan30 -

-

[SwitchA] vlan 30 -

[SwitchA]port e 4/0/3 -

-

8.创建（进入）vlan30的虚接口 -

-

[SwitchA] interface Vlan-interface 30 -

-

9.给vlan30的虚接口配置IP地址 -

-

[SwitchA-Vlan-interface30]ip address 10.30.1.1 255.255.0.0 -

-

10.创建（进入）vlan100 -

-

[SwitchA] vlan 100 -

[SwitchA]port e 4/0/4 -

-

11.创建（进入）vlan100的虚接口 -

-

[SwitchA] interface Vlan-interface 100 -

-

12.给vlan100的虚接口配置IP地址 -

-

[SwitchA-Vlan-interface100]ip address 10.100.1.1 255.255.0.0 -

-

13.创建（进入）vlan200 -

-

[SwitchA] vlan 200 -

[SwithcA]port e 4/0/5 -

-

14.创建（进入）vlan200的虚接口 -

-

[SwitchA] interface Vlan-interface 200 -

-

15.给vlan200的虚接口配置IP地址 -

-

[SwitchA-Vlan-interface200]ip address 10.200.1.1 255.255.0.0 -

-

-

-

访问控制配置 -

-

-

-

1.配置ACL -

-

[SwitchA] acl num 3000 -

-

2.配置acl访问控制列表禁止网段10.10.0.0访问网段10.20.0.0 -

-

[SwitchA-acl-adv-3000]rule 0 deny ip source 10.10.1.1 0.0.255.255 destination 10.20.1.1 0.0.255.255 -

-

3.配置acl访问控制列表禁止网段10.10.0.0访问网段10.30.0.0 -

-

[SwitchA-acl-adv-3000]rule 1 deny ip source 10.10.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255 -

-

4.配置acl访问控制列表禁止网段10.20.0.0访问网段10.10.0.0 -

-

[SwitchA-acl-adv-3000]rule 2 deny ip source 10.20.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255 -

-

5.配置acl访问控制列表禁止网段10.20.0.0访问网段10.30.0.0 -

-

[SwitchA-acl-adv-3000]rule 3 deny ip source 10.20.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255 -

-

6.配置acl访问控制列表禁止网段10.30.0.0访问网段10.10.0.0 -

-

[SwitchA-acl-adv-3000]rule 4 deny ip source 10.30.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255 -

-

7.配置acl访问控制列表禁止网段10.30.0.0访问网段10.20.0.0 -

-

[SwitchA-acl-adv-3000]rule 5 deny ip source 10.30.1.1 0.0.255.255 destination 10.20.

1.1 0.0.255.255 -

-

8.配置acl访问控制列表禁止网段10.30.0.0访问网段10.200.0.0 -

-

[SwitchA-acl-adv-3000]rule 6 deny ip source 10.30.1.1 0.0.255.255 destination 10.200.1.1 0.0.255.255 -

-

进入端口视图 -

-

[SwitchA]int e4/0/1 -

-

9.下发访问控制列表 -

-

[SwitchA]packet-filter inbound ip 3000 -

-

[SwitchA]int e4/0/2 -

-

10.下发访问控制列表 -

-

[SwitchA]packet-filter inbound ip 3000 -

[SwitchA]int e4/0/3 -

-

11.下发访问控制列表 -

-

[SwitchA]packet-filter inbound ip 3000 -

[SwitchA]int e4/0/4 -

-

12.下发访问控制列表 -

-

[SwitchA]packet-filter inbound ip 3000 -

[SwitchA]int e4/0/5 -

-

13.下发访问控制列表 -

-

[SwitchA]packet-filter inbound ip 3000