h3c acl vlan間互訪控制

1樓：昝御

這就相當麻煩了，需要在雙方的交換機中進行acl而且ip需要乙個乙個設定，還關於源到目地。

你最好把vlan10到90是乙個大網段，比如192.168.1.2 至192.168.9.2 vlan100為 192.126.10.2

這樣在兩個交換機上做acl只要禁止192.168.0.0就行了。

2樓：匿名使用者

1、先把基礎工作做好，就是配置vlan，配置trunk，確定10個vlan和相應的埠都正確。假設10個vlan的位址分別是192.168.

10.x，192.168.

20.x。。。。。。192.

168.100.x，與vlan號對應。

2、為第乙個vlan 10建立乙個acl，命令為

acl number 2000

這個2000號，可以寫的數是2000-2999，是基本的acl定義。

然後在這個acl下繼續定義rule，例如

rule 1 deny source 192.168.20.0

rule 2 deny source 192.168.30.0

rule 3 deny source 192.168.40.0

rule 4 deny source 192.168.50.0

rule 5 deny source 192.168.60.0

rule 6 deny source 192.168.70.0

rule 7 deny source 192.168.80.0

rule 8 deny source 192.168.90.0

然後進入vlan介面

inte***ce vlan 10

在vlan 10介面下，啟用上面定義的規則：

packet-filter outbound ip-group 2000

這應該就可以了，其它vlan也按這個方法定義。

這一句：packet-filter outbound ip-group 2000 裝置有可能不支援，那你就得換種方法定義acl，使用3000-3999之間的擴充套件acl定義：

rule 1 deny destination 192.168.20.0

....

然後在vlan介面下啟用

packet-filter inbound ip-group 3000

3樓：匿名使用者

vlan 是在2126上分還是在3610上分啊，還是兩邊都分啊，說明白了才能幫你

h3c 的acl 控制訪問，怎麼實現vlan1和vlan2不能互訪問，但vlan1能訪問vlan2其中乙個ip

4樓：匿名使用者

把這個例外寫在acl列表的前面：lan1能訪問vlan2其中乙個ip

後面接著寫常規

vlan1和vlan2不能互訪問

h3c三層交換機怎樣利用acl訪問控制列表限制兩個網段互訪

5樓：匿名使用者

路由器和交換機之間的資料交換是雙向的，也就是說做不到單向的訪問

6樓：戀上我的師

deny 來自於**的ip to **ip

h3c s系列交換機不同網段之間的vlan互訪問題

7樓：臭蟲大俠

假設s3600 1.2.3介面分別接s3100的1口，2.3口接電腦,都採用c類位址

s3600：

vlan 10

ip address 192.168.1.0 255.255.255.0

vlan 20

ip address 172.1.1.0 255.255.255.0vlan 30

ip address 10.1.1.0 255.255.255.0inte***ce f0/1

port link-type trunk

port trunk permit vlan allinte***ce f0/2

port link-type trunk

port trunk permit vlan allinte***ce f0/3

port link-type trunk

port trunk permit vlan alls3100-1:

inte***ce f0/1

port link-type trunk

port trunk permit vlan allinte***ce f0/2

port access vlan 10

inte***ce f0/3

port access vlan 10

s3100-2:

inte***ce f0/1

port link-type trunk

port trunk permit vlan allinte***ce f0/2

port access vlan 20

inte***ce f0/3

port access vlan 20

s3100-3:

inte***ce f0/1

port link-type trunk

port trunk permit vlan allinte***ce f0/2

port access vlan 30

inte***ce f0/3

port access vlan 30

現在所有的機器是互通的，你只需要在vlan10.20.30加上訪問訪問控制列表就行了，比如伺服器放在s3600上，屬於vlan 40，就行了，就可以訪問。

有關h3c三層交換機vlan、vlan間互訪、trunk設定、共享上網的疑問，請網路專家幫幫我。

8樓：蕭蕭瑟瑟

這樣的三層交換如何做trunk？需要做trunk嗎？

9樓：匿名使用者

① 每個 vlan 下的 pc 都可以通過路由器上網。如每台 pc 是自動獲得 ip 位址，在 pc 中如已有類似路由：0.

0.0.0 0.

0.0.0 所在 vlan 閘道器 ip 位址，在 h3c 5500 中只要設一條到 h3c er3200 的路由：

0.0.0.0 0.0.0.0 h3c 5500 與 h3c er3200 連線的 port24 的 ip 位址。並可將這條路由設為預設路由。

② 如果 5500 下接的二層交換機是不可管理的，就是都是乙個網段的，5500 與二層交換機級聯就可以了。

③ 如果二層交換機是可管理型，所有介面接的 pc 不屬於同乙個 vlan，這樣二層交換機與 5500 連線就是 trunk。例如：5500 的 port 1－2 可接同一台二層交換機，增加冗餘和頻寬，二層設 spanning-tree。

④ 三層交換機關鍵配置：上外網的路由；

⑤ 配置 vlan；

⑥ 如：5500 的 port 1－2 可接同一台二層交換機，需要配置為同乙個 port-channel；

⑦ 配置只在內網內訪問的路由，不需要放在路由器中進行，減輕路由器的負擔。可以在三層交換機啟動 eigrp 或 rip，將相應的網路號加入後就啟動。如，192.

168.0.0，加入 192.

168.0.0 0.

0.255.255。

路由器中配置相應的路由協議，就有到內網的路由了。

⑧ vlan 間有互相訪問的限制應建立乙個訪問列表，應用到每個 vlan 中；或建立多個訪問列表，每個 vlan 對應乙個，應用到相應的 vlan 中；

⑨ h3c er3200 路由器、h3c 5500 三層交換機、許多的2層交換機的網路裝置的 ip 位址應該是乙個網段、或幾個網段，同時分別屬於乙個 vlan、或幾個 vlan，便於管理。此 vlan 不是 pc 的 vlan。h3c er3200 路由器和 h3c 5500 三層交換機之間的連線位址應單獨屬於乙個網段、或乙個子網，或屬於同其它有關 ip 位址一起屬於乙個網段、或乙個子網，同時在乙個單獨的 vlan 內、或在某個 vlan 內。

10樓：吳玉棟

這樣的三層交換如何做trunk？

你按照埠劃分了vlan，不需要做trunk，除非乙個埠連線了多個vlan才用到trunk。

需要做trunk嗎？

不需要路由器上要做什麼設定？

路由器連線三層交換機的埠，要和該埠處於同乙個vlan中三層交換的關鍵配置在**？

關鍵就在路由**，一般ip rout 192.168.2.1 0.0.0.0 0.0.0.0

要啟動路由功能嗎？

需要如何啟動？

你建立vlan並且配備了位址，路由已經啟動了

11樓：匿名使用者

h3c 5500是三層交換機，不需要做配置每個vlan之間都是互通的，下面的2層交換機直接掛上去就行，2層不需要配置，路由器上要做一條出去的路由和一條到5500的回程路由，至於trunk口只需要在port24上面做就行了，具體命令不太清楚，我是做中興的，命令不太一樣，反正就是建立vlan，然後inte***ce vlan ，然後就是add埠就行了，呵呵，你可以照著配置手冊上面做，

三層交換機主要的就是劃分vlan和做dhcp（自動獲取ip），，這是最常用的和最基本的。

12樓：匿名使用者

去看看單臂路由的配置和案例，差不多就能解決你的問題了。

h3c acl vlan間互訪控制

h3c的無線ap怎樣配置，H3C的無線AP怎樣配置？

請問SEO優化大師們，h3h3標籤能不能單獨使用，也就是頁面只有h3標籤沒有h1和h

H2CO3如何變成鹽，H2CO3如何反應生成CaCO

其他用戶還看了：