H3C三层交换机配置VLAN之间不能互相访问

一 组网需求：1．SwitchA与SwitchB用trunk互连，相同VLAN的PC之间可以互访，不同VLAN的PC之间禁止互访；2．PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN 接口10的IP地址为10.1.1.254/24，VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。

二 组网图：1．VLAN内互访，VLAN间禁访1 实现VLAN内互访VLAN间禁访配置过程SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置：1．创建（进入）VLAN10，将E0/10加入到VLAN10[SwitchB]vlan 10[SwitchB-vlan10]port Ethernet 0/102．创建（进入）VLAN20，将E0/20加入到VLAN20[SwitchB]vlan 20[SwitchB-vlan20]port Ethernet 0/203．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1[SwitchB-GigabitEthernet1/1]port link-type trunk [SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20 2．通过三层交换机实现VLAN间互访2 通过三层交换机实现VLAN间互访的配置SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置：1．创建VLAN10[SwitchB]vlan 102．设置VLAN10的虚接口地址[SwitchB]interface vlan 10[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 3．创建VLAN20[SwitchB]vlan 204．设置VLAN20的虚接口地址[SwitchB]interface vlan 20[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0 5．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20。

实验名称：三层交换机VLAN的配置设备：NETGEAR GSM7312一、通过Web页面设置NETGEARGSM7312交换机Port-Base Vlan设置目标：增加2个Vlan:Vlan6(端口1)；Vlan7(端口12)，这2个Vlan间的用户不能互相访问，但可以通过共同端口11口访问路由器,其余端口保留在Vlan1，（只能访问到路由器，要上网还要在三层交换机上配置一条静态路由192.168.1.1）配置步骤•使用9针串口设置线连接GSM7312交换机，进入CLI配置界面，使用（GSM7312）# Clear Config命令恢复出厂设置。

•然后使用命令（GSM7312）#Reload ; 系统提示是否保存现有配置（选择YES）。

然后系统重新启动。

•配置GSM7312交换机管理IP地址为192.168.3.100/255.255.255.0,配置完毕后保存，命令为：network parms 192.168.3.100 255.255.255.0 192.168.3.1 •连接配置计算机的网线到GSM7312的端口10；//根据系统默认设置，连到没有被划分VLAN的端口都可以•打开IE浏览器，在URL处输入http://192.168.3.100/,进入交换机配置管理界面。

•点选菜单Switch>VLAN>config ;在VLAN Configuration界面的Default VLAN处选择进行端口配置，保留所有端口在VLAN1不动；•在VLAN Configuration界面的VLAN ID and Name处,下拉选择Create选项进行新的VLAN的创建。

8.在VLAN ID栏里输入6; VLAN Name处输入：VLAN6 ;VLAN type选:Static(缺省)然后，按住键盘CTRL的同时，用鼠标点在unTag栏目下点选端口1、11,然后点“Submit”按纽保存设置。

三层交换机vlan划分和访问控制策略方法一：配置基于端口的VLAN#创建vlan1并进入视图（连接ICG 2000 电信路由器及办公室，信息管理部）<H3C> system-view[H3C] vlan 1#向VLAN1 中加入端口Ethernet1/0/1 和Ethernet1/0/2。

将物理端口1、2划分为VLAN1 [H3C-vlan1] port Ethernet 1/0/1 Ethernet 1/0/2 （或者port e1/0/1 e1/0/2）# 创建VLAN2 并进入其视图<H3c>system-view[H3c] vlan 2#向VLAN2 中加入端口Ethernet1/0/3和Ethernet1/0/5。

[H3C-vlan2] port Ethernet 1/0/3 to Ethernet 1/0/5 （或者port e1/0/3 e1/0/5）# 创建VLAN3 并进入其视图<H3c>system-view[H3C] vlan 3# 向VLAN3 中加入端口Ethernet1/0/6和Ethernet1/0/10[H3C-vlan3] portEthernet 1/0/6 to Ethernet 1/0/10 （或者port e1/0/6 e1/0/10）二：IP 地址配置# 配置VLAN 1 的IP 地址。

<H3C> system-view[H3C] interface Vlan-interface 1[H3C-Vlan-interface1] ip address 192.168.1.1 255.255.255.0# 配置VLAN 2的IP 地址。

<H3C> system-view[H3C] interface Vlan-interface 2[H3C-Vlan-interface2] ip address 192.168.2.1 255.255.255.0# 配置VLAN 3 的IP 地址。

H3C交换机配置ACL禁⽌vlan间互访1、先把基础⼯作做好，就是配置VLAN，配置Trunk，确定10个VLAN和相应的端⼝都正确。

假设10个VLAN的地址分别是192.168.10.X，192.168.20.X。

192.168.100.X，与VLAN号对应。

2、为第⼀个VLAN 10创建⼀个ACL，命令为ACL number 2000这个2000号，可以写的数是2000-2999，是基本的ACL定义。

然后在这个ACL下继续定义rule，例如rule 1 deny source 192.168.20.0rule 2 deny source 192.168.30.0rule 3 deny source 192.168.40.0rule 4 deny source 192.168.50.0rule 5 deny source 192.168.60.0rule 6 deny source 192.168.70.0rule 7 deny source 192.168.80.0rule 8 deny source 192.168.90.0然后进⼊VLAN接⼝interface vlan 10在vlan 10接⼝下，启⽤上⾯定义的规则：packet-filter outbound ip-group 2000这应该就可以了，其它VLAN也按这个⽅法定义。

这⼀句：packet-filter outbound ip-group 2000 设备有可能不⽀持，那你就得换种⽅法定义ACL，使⽤3000-3999之间的扩展ACL定义：rule 1 deny destination 192.168.20.0....然后在vlan接⼝下启⽤packet-filter inbound ip-group 3000。

配置步骤：1实现VLAN内互访 VLAN间禁访配置过程SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20SwitchB相关配置：1．创建（进入）VLAN10，将E0/10加入到VLAN10[SwitchB]vlan 10[SwitchB-vlan10]port Ethernet 0/102．创建（进入）VLAN20，将E0/20加入到VLAN20[SwitchB]vlan 20[SwitchB-vlan20]port Ethernet 0/203．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1[SwitchB-GigabitEthernet1/1]port link-type trunk[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 202、通过三层交换机实现VLAN间互访的配置SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置：1．创建VLAN10[SwitchB]vlan 102．设置VLAN10的虚接口地址[SwitchB]interface vlan 10[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 3．创建VLAN20[SwitchB]vlan 204．设置VLAN20的虚接口地址[SwitchB]interface vlan 20[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0 5．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20。

配置步骤:1.VLAN配置<Quidway>sys /进入特权模式[Quidway]vlan 2 /建立vlan 2[Quidway]ctrl+z /退出vlan2 到普通模式<Quidway>sys /进入特权模式[Quidway]vlan 3 /建立vlan 3[Quidway]ctrl+z /退出vlan3 到普通模式<Quidway>sys /进入特权模式[Quidway]int vlan 2 /进入到vlan2[Quidway-Vlan-interface2]ip address 192.168.2.1 255.255.255.0 /给vlan 2 配置IP[Quidway-Vlan-interface2]ctrl+z /退出vlan2 到普通模式<Quidway>sys /进入特权模式[Quidway]int vlan 3 /进入到vlan3[Quidway-Vlan-interface2]ip address 192.168.3.1 255.255.255.0 /给vlan 3 配置IP[Quidway-Vlan-interface2]ctrl+z /退出vlan3 到普通模式<Quidway>sys /进入特权模式[Quidway]int g2/0/1 /进入到g2/0/1端口[Quidway-GigabitEthernet2/0/1]port access vlan 2 / 将该端口添加到vlan 2 [Quidway-GigabitEthernet2/0/1]ctrl+z /退出vlan 2 到普通模式<Quidway>sys /进入特权模式[Quidway]int g2/0/2 /进入到g2/0/2端口[Quidway-GigabitEthernet2/0/1]port access vlan 3 / 将该端口添加到vlan 3 [Quidway-GigabitEthernet2/0/1]ctrl+z /退出vlan 3 到普通模式2.ACL配置<Quidway>sys /进入特权模式[Quidway]acl number 3015 /建立acl 编号取为3015,该编号可以任意取[Quidway-acl-adv-3015]rule deny source 192.168.2.0 0.0.0.255 destination 192.168.3.00.0.0.255 /定义192.168.2.0 的ip段不能访问192.168.3.0 网段,反之也一样. [Quidway-acl-adv-3015]ctrl+z /退出当前acl 到普通模式<Quidway>sys /进入特权模式[Quidway]int g2/0/1 /进入到g2/0/1端口[Quidway-GigabitEthernet2/0/1]packet-filter inbound ip-group 3015not-care-for-interface /将定义好的acl 3015下发到整台交换机中,让整台交3.Trunk配置网络环境:6506 g2/0/4多模光口接3026 g1/1 多模光口3026 建立两个VLANvlan 5 192.168.5.1 255.255.255.0 (原来的用户继续使用,即端口9-24)vlan 6 192.168.6.1 255.255.255.0 (用于财务1-8口)不允许任何VLAN访问VLAN 6步骤：6506 上的配置步骤如下：sys /进入特权vlan 5 /建立两个VLAN，即3026上所要建立的VLAN，必须同名vlan 6 /建立两个VLAN，即3026上所要建立的VLAN，必须同名int vlan 5 /进入到vlan 5ip add 192.168.5.1 255.255.255.0 /配置vlan 5 的IP地址int vlan 6 /进入到vlan 6ip add 192.168.6.1 255.255.255.0 /配置VLAN 6 的IP地址interface g2/0/4 /进入到端口port link-type trunk /配置端口工作在Trunk模式port trunk permit vlan 5 /允许vlan 5通过port trunk permit vlan 6 /允许vlan 6能过speed 1000 /配置速度duplex full /工作模式全双工acl number 3001 /定义一条ACL，不允许任何VLAN访问VLAN 6rule deny ip source any destination 192.168.6.0 0.0.0.255 /定久任何IP不能访问192.168.6.0网段int g2/0/4 /进入到端口packet-filter inbound ip-group 3001 /将ACL应用到端口3026配置步骤如下：sys /进入特权vlan 5 /建立vlan 5,必须和6506上的相同vlan 6 /建立vlan 6,必须和6506上的相同int g1/1 /进入到g1/1口port link-type trunk /配置端口工作在Trunk模式port trunk permit vlan 5 /允许vlan 5通过port trunk permit vlan 6 /允许vlan 6能过speed 1000 /配置速度duplex full /工作模式全双工int e0/1 /进入端口port access alvn 6 /将端口添加到vlan 6里int e0/23 /进入端口port access vlan 5 /将端口添加到vlan 5里。

一组网需求：1．Switch‎A与Swit‎c hB用tr‎u nk互连，相同VLAN‎的PC之间可‎以互访，不同VLAN‎的PC之间禁‎止互访；2．PC1与PC‎2之间在不同‎V LAN，通过设置上层‎三层交换机S‎w itchB‎的VLAN接‎口10的IP‎地址为10.1.1.254/24，VLAN接口‎20的IP地‎址为20.1.1.254/24可以实现‎V LAN间的‎互访。

二组网图：1．VLAN内互‎访，VLAN间禁‎访一、实现VLAN‎内互访VLA‎N间禁访配置‎过程Switch‎A相关配置：1．创建（进入）VLAN10‎，将E0/1加入到VL‎A N10[Switch‎A]vlan 10[Switch‎A-vlan10‎]port Ethern‎e t 0/12．创建（进入）VLAN20‎，将E0/2加入到VL‎A N20[Switch‎A]vlan 20[Switch‎A-vlan20‎]port Ethern‎e t 0/23．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20Switch‎B相关配置：1．创建（进入）VLAN10‎，将E0/10加入到V‎L AN10[Switch‎B]vlan 10[Switch‎B-vlan10‎]port Ethern‎e t 0/102．创建（进入）VLAN20‎，将E0/20加入到V‎L AN20[Switch‎B]vlan 20[Switch‎B-vlan20‎]port Ethern‎e t 0/203．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎B]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎B-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎B-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20二、通过三层交换‎机实现VLA‎N间互访通过三层交换‎机实现VLA‎N间互访的配‎置Switch‎A相关配置：1．创建（进入）VLAN10‎，将E0/1加入到VL‎A N10[Switch‎A]vlan 10[Switch‎A-vlan10‎]port Ethern‎e t 0/12．创建（进入）VLAN20‎，将E0/2加入到VL‎A N20[Switch‎A]vlan 20[Switch‎A-vlan20‎]port Ethern‎e t 0/23．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20Switch‎B相关配置：1．创建VLAN‎10[Switch‎B]vlan 102．设置VLAN‎10的虚接口‎地址[Switch‎B]interf‎a ce vlan 10[Switch‎B-int-vlan10‎]ip addres‎s 10.1.1.254 255.255.255.03．创建VLAN‎20[Switch‎B]vlan 204．设置VLAN‎20的虚接口‎地址[Switch‎B]interf‎a ce vlan 20[Switch‎B-int-vlan20‎]ip addres‎s 20.1.1.254 255.255.255.05．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20。

华为三层交换机如何让V L A N间不能互通配置『配置环境参数』1. 交换机E0/1和E0/2属于vlan102. 交换机E0/3属于vlan203. 交换机E0/4和E0/5属于vlan304. 交换机E0/23连接Server15. 交换机E0/24连接Server26. Server1和Server2分属于vlan40和vlan507. PC和Server都在同一网段8. E0/10连接BAS设备，属于vlan60『组网需求』1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访；2. Vlan10、vlan20和vlan30的PC均可以访问Server 1；3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2；4. vlan 10中的2端口的PC可以访问vlan 30的PC；5. vlan 20的PC可以访问vlan 30的5端口的PC；6. vlan10的PC访问外网需要将vlan信息送到BAS，而vlan20和vlan30则不需要。

2 数据配置步骤『端口hybrid属性配置流程』hybrid 属性是一种混杂模式，实现了在一个untagged端口允许报文以tagged形式送出交换机。

同时可以利用hybrid属性定义分属于不同的vlan的端口之间的互访，这是access和trunk端口所不能实现的。

在一台交换机上不允许trunk端口和hybrid端口同时存在。

1. 先创建业务需要的vlan[SwitchA]vlan 10[SwitchA]vlan 20[SwitchA]vlan 30[SwitchA]vlan 40[SwitchA]vlan 502. 每个端口，都配置为 hybrid状态[SwitchA]interface Ethernet 0/1[SwitchA-Ethernet0/1]port link-type hybrid3. 设置端口的pvid等于该端口所属的vlan[Switch-Ethernet0/1]port hybrid pvid vlan 104. 将希望可以互通的端口的pvid vlan，设置为untagged vlan，这样从该端口发出的广播帧就可以到达本端口[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged实际上，这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口，接收端口通过是否将 vlan 设置为 untagged vlan，来控制是否与 pvid vlan 为该 vlan 的端口互通。

H3C交换机VLAN间互访设置详解H3C交换机VLAN间互访设置详解H3C CAS云计算管理平台可以为企业数据中心的云计算基础架构提供业界先进的虚拟化与云业务运营解决方案。

下面是店铺整理的关于H3C交换机VLAN间互访设置，希望大家认真阅读!一、组网需求PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN接口10的.IP地址为10.1.1.254/24，路由器设置VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。

二、配置步骤SwitchA相关配置：[SwitchA]vlan 10 //创建VLAN10[SwitchA-vlan10]port Ethernet 0/1 //将E0/1加入到VLAN10 [SwitchA]vlan 20 //创建VLAN20[SwitchA-vlan20]port Ethernet 0/2 //将E0/2加入到VLAN20 [SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk //将端口G1/1配置为Trunk端口[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 //允许VLAN10和VLAN20通过SwitchB相关配置：[SwitchB]vlan 10 //创建VLAN10[SwitchB]interface vlan 10[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 //设置VLAN10的虚接口地址[SwitchB]vlan 20 //创建VLAN20[SwitchB]interface vlan 20[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0 //设置VLAN20的虚接口地址[SwitchB]interface GigabitEthernet 1/1[SwitchB-GigabitEthernet1/1]port link-type trunk //将端口G1/1配置为Trunk端口[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20 //允许VLAN10和VLAN20通过。