我设备配置了华为mux vlann,为什么不能互通
点击联系发帖人
时间:2017-09-26 02:30
查看:20098|回复:23
初级工程师
华为三层交换机默认情况下所有VLAN 之间都是可以相互访问的,但是如果在有些场合要求做到互相之间不能访问,相当于两个独立的交换机,应该如何做到?
本帖最后由 小侠唐在飞 于
10:23 编辑
提示: 作者被禁止或删除 内容自动屏蔽
不是路由功能,应该是写访问控制列表。
顺带问下2楼的大哥,H3C三层交换机开启路由功能的命令是什么?
助理工程师
访问控制列表可以实现!
初级工程师
引用:原帖由 song2212339 于
21:30 发表
不开路由功能就行了,拿3层当2层用就行了。 不开启路由要三层交换机做什么?
应该是通过acl进行控制才好
设置acl规则
华为交换机默认是VLAN间可以互相访问的,如果要限制VLAN间不能互访,就要做ACL,
举个例子,比如要让VLAN 2 网关是192.168.2.1 与VLAN 3网关是192.168.3.1两个VLAN不
允许互访,可以这样设置:
acl number 3000
rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
packer-filter inbound ip-group 3000 rule 0
白袍大法师
『配置环境参数』
1. 交换机E0/1和E0/2属于vlan10
2. 交换机E0/3属于vlan20
3. 交换机E0/4和E0/5属于vlan30
4. 交换机E0/23连接Server1
5. 交换机E0/24连接Server2
6. Server1和Server2分属于vlan40和vlan50
7. PC和Server都在同一网段
8. E0/10连接BAS设备,属于vlan60
『组网需求』
1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访;
2. Vlan10、vlan20和vlan30的PC均可以访问Server 1;
3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2;
4. vlan 10中的2端口的PC可以访问vlan 30的PC;
5. vlan 20的PC可以访问vlan 30的5端口的PC;
6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。
2 数据配置步骤
『端口hybrid属性配置流程』
hybrid 属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的 端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。
1. 先创建业务需要的vlan
[SwitchA]vlan 10
[SwitchA]vlan 20
[SwitchA]vlan 30
[SwitchA]vlan 40
[SwitchA]vlan 50
2. 每个端口,都配置为 hybrid状态
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
3. 设置端口的pvid等于该端口所属的vlan
[Switch-Ethernet0/1]port hybrid pvid vlan 10
4. 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口
[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged
实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为 该 vlan 的端口互通。
5. 以下各端口类似:
[Switch-Ethernet0/1]int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 10
[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/2]int e0/3
[Switch-Ethernet0/3]port link-type hybrid
[Switch-Ethernet0/3]port hybrid pvid vlan 20
[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged
[Switch-Ethernet0/3]int e0/4
[Switch-Ethernet0/4]port link-type hybrid
[Switch-Ethernet0/4]port hybrid pvid vlan 30
[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/4]int e0/5
[Switch-Ethernet0/5]port link-type hybrid
[Switch-Ethernet0/5]port hybrid pvid vlan 30
[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged
[Switch-Ethernet0/5]int e0/23
[Switch-Ethernet0/23]port link-type hybrid
[Switch-Ethernet0/23]port hybrid pvid vlan 40
[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged
[Switch-Ethernet0/24]int e0/24
[Switch-Ethernet0/24]port link-type hybrid
[Switch-Ethernet0/24]port hybrid pvid vlan 50
[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
6. 在上行口E0/10上允许vlan10以tagged形式送出,其它为untagged
[SwitchA]interface Ethernet 0/10
[SwitchA-Ethernet0/10]port link-type hybrid
[SwitchA-Ethernet0/10]port hybrid pvid vlan 60
[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged
[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged
本例中需求比较复杂,一般人员很难做到一次性在一个端口上指定哪些vlan允许通过,可以根据需求逐条配置,交换机支持在端口上多次设置。
S系列交换机实现不同VLAN之间互访的配置
一、组网需求:
交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用Hybrid端口属性实现此功能。
二、组网图:
三、配置步骤:
1. 创建VLAN2
[Quidway]vlan 2
2. 创建VLAN3
[Quidway-vlan2]vlan 3
3. 创建VLAN4
[Quidway-vlan3]vlan 4
4. 进入端口Ethernet1/0/1
[Quidway-vlan4] interface Ethernet1/0/1
5. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/1]port link-type hybrid
6. 设置端口pvid为1
[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1
7. 允许VLAN1,2,3,4不打标签通过
[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged
8. 进入端口Ethernet1/0/2
[Quidway-Ethernet1/0/1]interface Ethernet1/0/2
9. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/2]port link-type hybrid
10. 设置端口pvid为2
[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2
11. 允许VLAN1,2不打标签通过
[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged
12. 进入端口Ethernet1/0/3
[Quidway-Ethernet1/0/2]interface Ethernet1/0/3
13. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/3]port link-type hybrid
14. 设置端口pvid为3
[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3
15. 允许VLAN1,3不打标签通过
[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged
16. 进入端口Ethernet1/0/4
[Quidway-Ethernet1/0/3]interface Ethernet1/0/4
17. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/4]port link-type hybrid
18. 设置端口pvid为4
[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4
19. 允许VLAN1,4不打标签通过
[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged
四、配置关键点:
1. 利用交换机以太网端口的Hybrid特性,可以实现PVLAN的功能。
2. 采用Hybrid属性实现的PVLAN功能和PVLAN的工作机制存在较大差异,上述情况只适用于网络流量,网络用户较少的应用。
S3000-EI系列交换机实现不同VLAN之间互访的配置
一、组网:
S3026C交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用PVLAN实现此功能。
二、组网图:
三、配置步骤:
1. 进入VLAN1
[Switch] vlan 1
2. 设置VLAN1类型为isolate-user-vlan
[Switch-vlan1] isolate-user-vlan enable
3. 创建(进入)进入VLAN2
[Switch-vlan1] vlan 2
4. 将端口E0/2加入VLAN2
[Switch-vlan2] port ethernet0/2
5. 创建(进入)进入VLAN3
[Switch-vlan2] vlan 3
6. 将端口E0/3加入VLAN3
[Switch-vlan3] port ethernet0/3
7. 创建(进入)进入VLAN4
[Switch-vlan3] vlan 4
8. 将端口E0/4加入VLAN4
[Switch-vlan4] port ethernet0/4
9. 退出到系统视图
[Switch-vlan4] quit
10. 配置isolate-user-vlan和Secondary VLAN间的映射关系
[Switch] isolate-user-vlan 1 secondary 2 to 4
四、配置关键点:
1. 目前S系列交换机S2403H、S2026Z-SI 、S2026C-SI与S3000系列都支持PVLAN,此处仅以S3026C为例,其他交换机配置相同;
2. isolate-user-vlan不能和Trunk端口同时配置,即如果交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了Trunk端口,就不能配置isolate-user-vlan;
isolate-user-vlan简介
isolate- user-vlan是华为公司系列以太网交换机的一个特性,通过该特性可实现网络中VLAN资源的节约。isolate-user-vlan采用二层 VLAN结构,在一台以太网交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Secondary VLAN对应,isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate- user-vlan中包含的Secondary VLAN,简化了网络配置,节省了VLAN资源。同时,用户可以采用isolate-user-vlan实现二层报文的隔离,即为每个用户分配一个 Secondary VLAN,每个Secondary VLAN中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个Secondary VLAN中即可。
2.2 isolate-user-vlan配置
isolate-user-vlan配置包括:
l 配置isolate-user-vlan
l 配置Secondary VLAN
l 设置isolate-user-vlan和Secondary VLAN间的映射关系
以上任务都是必选的,一旦启用isolate-user-vlan就必须配置。
2.2.1 配置isolate-user-vlan
可以使用下面的命令为一个以太网交换机创建一个isolate-user-vlan,并且向此isolate-user-vlan中添加端口。
请在系统视图下进行创建VLAN的配置,在VLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端口的配置。
表2-1 配置isolate-user-vlan
创建VLAN vlan vlan-id
设置VLAN类型为isolate-user-vlan isolate-user-vlan enable
取消VLAN为isolate-user-vlan的设置 undo isolate-user-vlan enable
向isolate-user-vlan中添加端口 port interface-list
一 台以太网交换机可以有多个isolate-user-vlan,可以为每个isolate-user-vlan指定多个端口。isolate-user- vlan不能和Trunk端口同时配置,即如果以太网交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了 Trunk端口,就不能配置isolate-user-vlan。此外,上行端口必须添加到了isolate-user-vlan中。
2.2.2 配置Secondary VLAN
可以使用下面的命令来创建Secondary VLAN,并为Secondary VLAN指定端口。
请在系统视图下进行下列配置。
表2-2 配置Secondary VLAN
创建Secondary VLAN vlan vlan-id
向Secondary VLAN中添加端口 port interface-list
可以向每一个Secondary VLAN中添加多个端口(非上行端口)。
2.2.3 配置isolate-user-vlan和Secondary VLAN间的映射关系
可以使用下面的命令来建立isolate-user-vlan和Secondary VLAN之间的映射关系。
请在系统视图下进行下列配置。
表2-3 配置isolate-user-vlan和Secondary VLAN间的映射关系
配 置isolate-user-vlan和Secondary VLAN间的映射关系 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
取消配置isolate-user-vlan和Secondary VLAN间的映射关系 undo isolate-user-vlan isolate-user-vlan_num [secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
需要注意的是,执行该命令前,isolate-user-vlan和Secondary VLAN中都必须已经包含了端口。最多可以向一个isolate-user-vlan中映射30个Secondary VLAN。
建立映射关系后,向isolate-user-vlan和Secondary VLAN中添加和删除端口以及删除VLAN的*作被系统禁止。只有在解除了映射关系后才可以执行。
undo isolate-user-vlan命令如果不带参数secondary secondary_vlan_numlist的话,就解除所有Secondary VLAN和指定isolate-user-vlan的映射关系;如果带有该参数的话就解除参数指定的Secondary VLAN和指定isolate-user-vlan的映射关系。
2.3 isolate-user-vlan显示和调试
在完成上述配置后,在所有视图?葱衐isplay命令可以显示配置后isolate-user-vlan的运行情况,通过查看显示信息验证配置的效果。
表2-4 isolate-user-vlan的显示与调试
显示isolate-user-vlan和Secondary VLAN的映射关系 display isolate-user-vlan [isolate-user-vlan_num | secondary_vlan_numlist ]
显示VLAN信息 display vlan [ vlan-id ]
2.4 isolate-user-vlan典型配置举例
1. 组网需求
Switch A太网交换机下接Switch B、Switch C以太网交换机。Switch B上的VLAN5为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN2和VLAN3,VLAN3包含端口Ethernet 0/1,VLAN2包含端口Ethernet 0/2;Switch C上的VLAN6为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN3和VLAN4,VLAN3包含端口Ethernet 0/3,VLAN4包含端口Ethernet 0/4。从Switch A 看,下接的Switch B、Switch C都只有一个VLAN:VLAN 5 和VLAN 6。
图2-1 isolate-user-vlan配置组网图
3. 配置步骤
下面只列出Switch B和Switch C的配置过程。
配置Switch B:
# 配置isolate-user-vlan。
[Quidway] vlan 5
[Quidway-vlan5] isolate-user-vlan enable
[Quidway-vlan5] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway-vlan5] vlan 3
[Quidway-vlan3] port ethernet 0/1
[Quidway-vlan3] quit
[Quidway] vlan 2
[Quidway-vlan2] port ethernet 0/2
[Quidway-vlan2] quit
# 配置isolate-user-vlan和Secondary VLAN间的映射关系。
[Quidway] isolate-user-vlan 5 secondary 2 to 3
配置Switch C:
# 配置isolate-user-vlan。
[Quidway] vlan 6
[Quidway-vlan6] isolate-user-vlan enable
[Quidway-vlan6] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway] vlan 3
[Quidway-vlan3] port ethernet 0/3
[Quidway-vlan3] quit
[Quidway] vlan 4
[Quidway-vlan4] port ethernet 0/4
[Quidway-vlan4] quit
# 配置isolate-user-vlan和Secondary VLAN间的映射关系。
[Quidway] isolate-user-vlan 6 secondary 3 to 4
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”,群号:。& &?
通过ACL是可以做得到的
比如让交换机的VLAN2与VLAN3不允许通信,VLAN 2的IP是192.168.2.1 VLAN 3的IP是192.168.3.1
acl number 3000
rule 0 deny ip source 192.168.2.0 0.0.0.255 destination&&192.168.3.0 0.0.0.255
packet-filter inbound ip-group 3000 rule 0
华为的三层交换机默认vlan是可以互相访问的!受教了,那有没有把这个默认功能关闭的功能呢!
华为3层交换机可以关闭路由功能吗?
disable ip routing 还是设置好端口的的访问控制规则,控制vlan之间的访问吧还是。
提示: 作者被禁止或删除 内容自动屏蔽
:(mars_18): 学习ing
学习了:victory:
学习ING···:P
正需要这样的配置。学习中!
我用华为5328做好像这样配置不行?在5328三层交换机怎么配置ACL呢?比如说 vlan3 4 5 6&&都可以访问vlan7, 但vlan3 4 5 6 互相不能访问?谢谢!
做ACL策略是可以解决的,不能互访要双向做策略vlan的各种类型(mux,smart,QINQ)_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
vlan的各种类型(mux,smart,QINQ)
阅读已结束,下载文档到电脑
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,方便使用
还剩5页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢华为三层交换机如何让VLAN间不能互通配置
我的图书馆
华为三层交换机如何让VLAN间不能互通配置
『配置环境参数』1. 交换机E0/1和E0/2属于vlan102. 交换机E0/3属于vlan203. 交换机E0/4和E0/5属于vlan304. 交换机E0/23连接Server15. 交换机E0/24连接Server26. Server1和Server2分属于vlan40和vlan507. PC和Server都在同一网段8. E0/10连接BAS设备,属于vlan60『组网需求』1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访;2. Vlan10、vlan20和vlan30的PC均可以访问Server 1;3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2;4. vlan 10中的2端口的PC可以访问vlan 30的PC;5. vlan 20的PC可以访问vlan 30的5端口的PC;6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。2 数据配置步骤『端口hybrid属性配置流程』hybrid 属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的 端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。1. 先创建业务需要的vlan[SwitchA]vlan 10[SwitchA]vlan 20[SwitchA]vlan 30[SwitchA]vlan 40[SwitchA]vlan 502. 每个端口,都配置为 hybrid状态[SwitchA]interface Ethernet 0/1[SwitchA-Ethernet0/1]port link-type hybrid 3. 设置端口的pvid等于该端口所属的vlan[Switch-Ethernet0/1]port hybrid pvid vlan 10 4. 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为 该 vlan 的端口互通。5. 以下各端口类似:[Switch-Ethernet0/1]int e0/2[Switch-Ethernet0/2]port link-type hybrid[Switch-Ethernet0/2]port hybrid pvid vlan 10[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged[Switch-Ethernet0/2]int e0/3[Switch-Ethernet0/3]port link-type hybrid[Switch-Ethernet0/3]port hybrid pvid vlan 20[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged[Switch-Ethernet0/3]int e0/4[Switch-Ethernet0/4]port link-type hybrid[Switch-Ethernet0/4]port hybrid pvid vlan 30[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged[Switch-Ethernet0/4]int e0/5[Switch-Ethernet0/5]port link-type hybrid[Switch-Ethernet0/5]port hybrid pvid vlan 30[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged[Switch-Ethernet0/5]int e0/23[Switch-Ethernet0/23]port link-type hybrid[Switch-Ethernet0/23]port hybrid pvid vlan 40[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged[Switch-Ethernet0/24]int e0/24[Switch-Ethernet0/24]port link-type hybrid[Switch-Ethernet0/24]port hybrid pvid vlan 50[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged6. 在上行口E0/10上允许vlan10以tagged形式送出,其它为untagged[SwitchA]interface Ethernet 0/10[SwitchA-Ethernet0/10]port link-type hybrid[SwitchA-Ethernet0/10]port hybrid pvid vlan 60[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged本例中需求比较复杂,一般人员很难做到一次性在一个端口上指定哪些vlan允许通过,可以根据需求逐条配置,交换机支持在端口上多次设置。S系列交换机实现不同VLAN之间互访的配置一、组网需求:交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用Hybrid端口属性实现此功能。二、组网图:无三、配置步骤:1. 创建VLAN2[Quidway]vlan 22. 创建VLAN3[Quidway-vlan2]vlan 33. 创建VLAN4[Quidway-vlan3]vlan 44. 进入端口Ethernet1/0/1[Quidway-vlan4] interface Ethernet1/0/1 5. 将端口设置为hybrid模式[Quidway-Ethernet1/0/1]port link-type hybrid6. 设置端口pvid为1[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1 7. 允许VLAN1,2,3,4不打标签通过[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged8. 进入端口Ethernet1/0/2[Quidway-Ethernet1/0/1]interface Ethernet1/0/29. 将端口设置为hybrid模式 [Quidway-Ethernet1/0/2]port link-type hybrid 10. 设置端口pvid为2[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2 11. 允许VLAN1,2不打标签通过[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged 12. 进入端口Ethernet1/0/3[Quidway-Ethernet1/0/2]interface Ethernet1/0/3 13. 将端口设置为hybrid模式[Quidway-Ethernet1/0/3]port link-type hybrid 14. 设置端口pvid为3[Quidway-Ethernet1/0/3]port hybrid pvid vlan 315. 允许VLAN1,3不打标签通过[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged 16. 进入端口Ethernet1/0/4[Quidway-Ethernet1/0/3]interface Ethernet1/0/417. 将端口设置为hybrid模式 [Quidway-Ethernet1/0/4]port link-type hybrid18. 设置端口pvid为4[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4 19. 允许VLAN1,4不打标签通过[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged 四、配置关键点:1. 利用交换机以太网端口的Hybrid特性,可以实现PVLAN的功能。2. 采用Hybrid属性实现的PVLAN功能和PVLAN的工作机制存在较大差异,上述情况只适用于网络流量,网络用户较少的应用。S3000-EI系列交换机实现不同VLAN之间互访的配置一、组网:S3026C交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用PVLAN实现此功能。二、组网图:无三、配置步骤:1. 进入VLAN1[Switch] vlan 12. 设置VLAN1类型为isolate-user-vlan[Switch-vlan1] isolate-user-vlan enable3. 创建(进入)进入VLAN2[Switch-vlan1] vlan 24. 将端口E0/2加入VLAN2[Switch-vlan2] port ethernet0/25. 创建(进入)进入VLAN3[Switch-vlan2] vlan 36. 将端口E0/3加入VLAN3[Switch-vlan3] port ethernet0/37. 创建(进入)进入VLAN4[Switch-vlan3] vlan 48. 将端口E0/4加入VLAN4[Switch-vlan4] port ethernet0/49. 退出到系统视图[Switch-vlan4] quit10. 配置isolate-user-vlan和Secondary VLAN间的映射关系[Switch] isolate-user-vlan 1 secondary 2 to 4四、配置关键点:1. 目前S系列交换机S2403H、S2026Z-SI 、S2026C-SI与S3000系列都支持PVLAN,此处仅以S3026C为例,其他交换机配置相同;2. isolate-user-vlan不能和Trunk端口同时配置,即如果交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了Trunk端口,就不能配置isolate-user-vlan;isolate-user-vlan简介isolate- user-vlan是华为公司系列以太网交换机的一个特性,通过该特性可实现网络中VLAN资源的节约。isolate-user-vlan采用二层 VLAN结构,在一台以太网交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Secondary VLAN对应,isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate- user-vlan中包含的Secondary VLAN,简化了网络配置,节省了VLAN资源。同时,用户可以采用isolate-user-vlan实现二层报文的隔离,即为每个用户分配一个 Secondary VLAN,每个Secondary VLAN中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个Secondary VLAN中即可。2.2 isolate-user-vlan配置isolate-user-vlan配置包括:l 配置isolate-user-vlanl 配置Secondary VLANl 设置isolate-user-vlan和Secondary VLAN间的映射关系以上任务都是必选的,一旦启用isolate-user-vlan就必须配置。2.2.1 配置isolate-user-vlan可以使用下面的命令为一个以太网交换机创建一个isolate-user-vlan,并且向此isolate-user-vlan中添加端口。请在系统视图下进行创建VLAN的配置,在VLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端口的配置。表2-1 配置isolate-user-vlan*作 命令创建VLAN vlan vlan-id设置VLAN类型为isolate-user-vlan isolate-user-vlan enable取消VLAN为isolate-user-vlan的设置 undo isolate-user-vlan enable向isolate-user-vlan中添加端口 port interface-list一 台以太网交换机可以有多个isolate-user-vlan,可以为每个isolate-user-vlan指定多个端口。isolate-user- vlan不能和Trunk端口同时配置,即如果以太网交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了 Trunk端口,就不能配置isolate-user-vlan。此外,上行端口必须添加到了isolate-user-vlan中。2.2.2 配置Secondary VLAN可以使用下面的命令来创建Secondary VLAN,并为Secondary VLAN指定端口。请在系统视图下进行下列配置。表2-2 配置Secondary VLAN*作 命令创建Secondary VLAN vlan vlan-id向Secondary VLAN中添加端口 port interface-list可以向每一个Secondary VLAN中添加多个端口(非上行端口)。2.2.3 配置isolate-user-vlan和Secondary VLAN间的映射关系可以使用下面的命令来建立isolate-user-vlan和Secondary VLAN之间的映射关系。请在系统视图下进行下列配置。表2-3 配置isolate-user-vlan和Secondary VLAN间的映射关系*作 命令配 置isolate-user-vlan和Secondary VLAN间的映射关系 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]取消配置isolate-user-vlan和Secondary VLAN间的映射关系 undo isolate-user-vlan isolate-user-vlan_num [secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]需要注意的是,执行该命令前,isolate-user-vlan和Secondary VLAN中都必须已经包含了端口。最多可以向一个isolate-user-vlan中映射30个Secondary VLAN。建立映射关系后,向isolate-user-vlan和Secondary VLAN中添加和删除端口以及删除VLAN的*作被系统禁止。只有在解除了映射关系后才可以执行。undo isolate-user-vlan命令如果不带参数secondary secondary_vlan_numlist的话,就解除所有Secondary VLAN和指定isolate-user-vlan的映射关系;如果带有该参数的话就解除参数指定的Secondary VLAN和指定isolate-user-vlan的映射关系。2.3 isolate-user-vlan显示和调试在完成上述配置后,在所有视图?葱衐isplay命令可以显示配置后isolate-user-vlan的运行情况,通过查看显示信息验证配置的效果。表2-4 isolate-user-vlan的显示与调试*作 命令显示isolate-user-vlan和Secondary VLAN的映射关系 display isolate-user-vlan [isolate-user-vlan_num | secondary_vlan_numlist ]显示VLAN信息 display vlan [ vlan-id ] 2.4 isolate-user-vlan典型配置举例1. 组网需求Switch A太网交换机下接Switch B、Switch C以太网交换机。Switch B上的VLAN5为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN2和VLAN3,VLAN3包含端口Ethernet 0/1,VLAN2包含端口Ethernet 0/2;Switch C上的VLAN6为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN3和VLAN4,VLAN3包含端口Ethernet 0/3,VLAN4包含端口Ethernet 0/4。从Switch A 看,下接的Switch B、Switch C都只有一个VLAN:VLAN 5 和VLAN 6。2. 组网图图2-1 isolate-user-vlan配置组网图3. 配置步骤下面只列出Switch B和Switch C的配置过程。配置Switch B:# 配置isolate-user-vlan。[Quidway] vlan 5[Quidway-vlan5] isolate-user-vlan enable[Quidway-vlan5] port ethernet 1/1# 配置Secondary VLAN。[Quidway-vlan5] vlan 3[Quidway-vlan3] port ethernet 0/1[Quidway-vlan3] quit[Quidway] vlan 2[Quidway-vlan2] port ethernet 0/2[Quidway-vlan2] quit# 配置isolate-user-vlan和Secondary VLAN间的映射关系。[Quidway] isolate-user-vlan 5 secondary 2 to 3配置Switch C:# 配置isolate-user-vlan。[Quidway] vlan 6[Quidway-vlan6] isolate-user-vlan enable[Quidway-vlan6] port ethernet 1/1# 配置Secondary VLAN。[Quidway] vlan 3[Quidway-vlan3] port ethernet 0/3[Quidway-vlan3] quit[Quidway] vlan 4[Quidway-vlan4] port ethernet 0/4[Quidway-vlan4] quit# 配置isolate-user-vlan和Secondary VLAN间的映射关系。[Quidway] isolate-user-vlan 6 secondary 3 to 4
通过ACL是可以做得到的比如让交换机的VLAN2与VLAN3不允许通信,VLAN 2的IP是192.168.2.1 VLAN 3的IP是192.168.3.1命令如下acl number 3000rule 0 deny ip source 192.168.2.0 0.0.0.255 destination&&192.168.3.0 0.0.0.255 packet-filter inbound ip-group 3000 rule 0
TA的推荐TA的最新馆藏[转]&[转]&[转]&
喜欢该文的人也喜欢}
初级工程师
华为三层交换机默认情况下所有VLAN 之间都是可以相互访问的,但是如果在有些场合要求做到互相之间不能访问,相当于两个独立的交换机,应该如何做到?
本帖最后由 小侠唐在飞 于
10:23 编辑
提示: 作者被禁止或删除 内容自动屏蔽
不是路由功能,应该是写访问控制列表。
顺带问下2楼的大哥,H3C三层交换机开启路由功能的命令是什么?
助理工程师
访问控制列表可以实现!
初级工程师
引用:原帖由 song2212339 于
21:30 发表
不开路由功能就行了,拿3层当2层用就行了。 不开启路由要三层交换机做什么?
应该是通过acl进行控制才好
设置acl规则
华为交换机默认是VLAN间可以互相访问的,如果要限制VLAN间不能互访,就要做ACL,
举个例子,比如要让VLAN 2 网关是192.168.2.1 与VLAN 3网关是192.168.3.1两个VLAN不
允许互访,可以这样设置:
acl number 3000
rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
packer-filter inbound ip-group 3000 rule 0
白袍大法师
『配置环境参数』
1. 交换机E0/1和E0/2属于vlan10
2. 交换机E0/3属于vlan20
3. 交换机E0/4和E0/5属于vlan30
4. 交换机E0/23连接Server1
5. 交换机E0/24连接Server2
6. Server1和Server2分属于vlan40和vlan50
7. PC和Server都在同一网段
8. E0/10连接BAS设备,属于vlan60
『组网需求』
1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访;
2. Vlan10、vlan20和vlan30的PC均可以访问Server 1;
3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2;
4. vlan 10中的2端口的PC可以访问vlan 30的PC;
5. vlan 20的PC可以访问vlan 30的5端口的PC;
6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。
2 数据配置步骤
『端口hybrid属性配置流程』
hybrid 属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的 端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。
1. 先创建业务需要的vlan
[SwitchA]vlan 10
[SwitchA]vlan 20
[SwitchA]vlan 30
[SwitchA]vlan 40
[SwitchA]vlan 50
2. 每个端口,都配置为 hybrid状态
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
3. 设置端口的pvid等于该端口所属的vlan
[Switch-Ethernet0/1]port hybrid pvid vlan 10
4. 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口
[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged
实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为 该 vlan 的端口互通。
5. 以下各端口类似:
[Switch-Ethernet0/1]int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 10
[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/2]int e0/3
[Switch-Ethernet0/3]port link-type hybrid
[Switch-Ethernet0/3]port hybrid pvid vlan 20
[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged
[Switch-Ethernet0/3]int e0/4
[Switch-Ethernet0/4]port link-type hybrid
[Switch-Ethernet0/4]port hybrid pvid vlan 30
[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/4]int e0/5
[Switch-Ethernet0/5]port link-type hybrid
[Switch-Ethernet0/5]port hybrid pvid vlan 30
[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged
[Switch-Ethernet0/5]int e0/23
[Switch-Ethernet0/23]port link-type hybrid
[Switch-Ethernet0/23]port hybrid pvid vlan 40
[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged
[Switch-Ethernet0/24]int e0/24
[Switch-Ethernet0/24]port link-type hybrid
[Switch-Ethernet0/24]port hybrid pvid vlan 50
[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
6. 在上行口E0/10上允许vlan10以tagged形式送出,其它为untagged
[SwitchA]interface Ethernet 0/10
[SwitchA-Ethernet0/10]port link-type hybrid
[SwitchA-Ethernet0/10]port hybrid pvid vlan 60
[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged
[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged
本例中需求比较复杂,一般人员很难做到一次性在一个端口上指定哪些vlan允许通过,可以根据需求逐条配置,交换机支持在端口上多次设置。
S系列交换机实现不同VLAN之间互访的配置
一、组网需求:
交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用Hybrid端口属性实现此功能。
二、组网图:
三、配置步骤:
1. 创建VLAN2
[Quidway]vlan 2
2. 创建VLAN3
[Quidway-vlan2]vlan 3
3. 创建VLAN4
[Quidway-vlan3]vlan 4
4. 进入端口Ethernet1/0/1
[Quidway-vlan4] interface Ethernet1/0/1
5. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/1]port link-type hybrid
6. 设置端口pvid为1
[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1
7. 允许VLAN1,2,3,4不打标签通过
[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged
8. 进入端口Ethernet1/0/2
[Quidway-Ethernet1/0/1]interface Ethernet1/0/2
9. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/2]port link-type hybrid
10. 设置端口pvid为2
[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2
11. 允许VLAN1,2不打标签通过
[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged
12. 进入端口Ethernet1/0/3
[Quidway-Ethernet1/0/2]interface Ethernet1/0/3
13. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/3]port link-type hybrid
14. 设置端口pvid为3
[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3
15. 允许VLAN1,3不打标签通过
[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged
16. 进入端口Ethernet1/0/4
[Quidway-Ethernet1/0/3]interface Ethernet1/0/4
17. 将端口设置为hybrid模式
[Quidway-Ethernet1/0/4]port link-type hybrid
18. 设置端口pvid为4
[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4
19. 允许VLAN1,4不打标签通过
[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged
四、配置关键点:
1. 利用交换机以太网端口的Hybrid特性,可以实现PVLAN的功能。
2. 采用Hybrid属性实现的PVLAN功能和PVLAN的工作机制存在较大差异,上述情况只适用于网络流量,网络用户较少的应用。
S3000-EI系列交换机实现不同VLAN之间互访的配置
一、组网:
S3026C交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用PVLAN实现此功能。
二、组网图:
三、配置步骤:
1. 进入VLAN1
[Switch] vlan 1
2. 设置VLAN1类型为isolate-user-vlan
[Switch-vlan1] isolate-user-vlan enable
3. 创建(进入)进入VLAN2
[Switch-vlan1] vlan 2
4. 将端口E0/2加入VLAN2
[Switch-vlan2] port ethernet0/2
5. 创建(进入)进入VLAN3
[Switch-vlan2] vlan 3
6. 将端口E0/3加入VLAN3
[Switch-vlan3] port ethernet0/3
7. 创建(进入)进入VLAN4
[Switch-vlan3] vlan 4
8. 将端口E0/4加入VLAN4
[Switch-vlan4] port ethernet0/4
9. 退出到系统视图
[Switch-vlan4] quit
10. 配置isolate-user-vlan和Secondary VLAN间的映射关系
[Switch] isolate-user-vlan 1 secondary 2 to 4
四、配置关键点:
1. 目前S系列交换机S2403H、S2026Z-SI 、S2026C-SI与S3000系列都支持PVLAN,此处仅以S3026C为例,其他交换机配置相同;
2. isolate-user-vlan不能和Trunk端口同时配置,即如果交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了Trunk端口,就不能配置isolate-user-vlan;
isolate-user-vlan简介
isolate- user-vlan是华为公司系列以太网交换机的一个特性,通过该特性可实现网络中VLAN资源的节约。isolate-user-vlan采用二层 VLAN结构,在一台以太网交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Secondary VLAN对应,isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate- user-vlan中包含的Secondary VLAN,简化了网络配置,节省了VLAN资源。同时,用户可以采用isolate-user-vlan实现二层报文的隔离,即为每个用户分配一个 Secondary VLAN,每个Secondary VLAN中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个Secondary VLAN中即可。
2.2 isolate-user-vlan配置
isolate-user-vlan配置包括:
l 配置isolate-user-vlan
l 配置Secondary VLAN
l 设置isolate-user-vlan和Secondary VLAN间的映射关系
以上任务都是必选的,一旦启用isolate-user-vlan就必须配置。
2.2.1 配置isolate-user-vlan
可以使用下面的命令为一个以太网交换机创建一个isolate-user-vlan,并且向此isolate-user-vlan中添加端口。
请在系统视图下进行创建VLAN的配置,在VLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端口的配置。
表2-1 配置isolate-user-vlan
创建VLAN vlan vlan-id
设置VLAN类型为isolate-user-vlan isolate-user-vlan enable
取消VLAN为isolate-user-vlan的设置 undo isolate-user-vlan enable
向isolate-user-vlan中添加端口 port interface-list
一 台以太网交换机可以有多个isolate-user-vlan,可以为每个isolate-user-vlan指定多个端口。isolate-user- vlan不能和Trunk端口同时配置,即如果以太网交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了 Trunk端口,就不能配置isolate-user-vlan。此外,上行端口必须添加到了isolate-user-vlan中。
2.2.2 配置Secondary VLAN
可以使用下面的命令来创建Secondary VLAN,并为Secondary VLAN指定端口。
请在系统视图下进行下列配置。
表2-2 配置Secondary VLAN
创建Secondary VLAN vlan vlan-id
向Secondary VLAN中添加端口 port interface-list
可以向每一个Secondary VLAN中添加多个端口(非上行端口)。
2.2.3 配置isolate-user-vlan和Secondary VLAN间的映射关系
可以使用下面的命令来建立isolate-user-vlan和Secondary VLAN之间的映射关系。
请在系统视图下进行下列配置。
表2-3 配置isolate-user-vlan和Secondary VLAN间的映射关系
配 置isolate-user-vlan和Secondary VLAN间的映射关系 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
取消配置isolate-user-vlan和Secondary VLAN间的映射关系 undo isolate-user-vlan isolate-user-vlan_num [secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
需要注意的是,执行该命令前,isolate-user-vlan和Secondary VLAN中都必须已经包含了端口。最多可以向一个isolate-user-vlan中映射30个Secondary VLAN。
建立映射关系后,向isolate-user-vlan和Secondary VLAN中添加和删除端口以及删除VLAN的*作被系统禁止。只有在解除了映射关系后才可以执行。
undo isolate-user-vlan命令如果不带参数secondary secondary_vlan_numlist的话,就解除所有Secondary VLAN和指定isolate-user-vlan的映射关系;如果带有该参数的话就解除参数指定的Secondary VLAN和指定isolate-user-vlan的映射关系。
2.3 isolate-user-vlan显示和调试
在完成上述配置后,在所有视图?葱衐isplay命令可以显示配置后isolate-user-vlan的运行情况,通过查看显示信息验证配置的效果。
表2-4 isolate-user-vlan的显示与调试
显示isolate-user-vlan和Secondary VLAN的映射关系 display isolate-user-vlan [isolate-user-vlan_num | secondary_vlan_numlist ]
显示VLAN信息 display vlan [ vlan-id ]
2.4 isolate-user-vlan典型配置举例
1. 组网需求
Switch A太网交换机下接Switch B、Switch C以太网交换机。Switch B上的VLAN5为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN2和VLAN3,VLAN3包含端口Ethernet 0/1,VLAN2包含端口Ethernet 0/2;Switch C上的VLAN6为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN3和VLAN4,VLAN3包含端口Ethernet 0/3,VLAN4包含端口Ethernet 0/4。从Switch A 看,下接的Switch B、Switch C都只有一个VLAN:VLAN 5 和VLAN 6。
图2-1 isolate-user-vlan配置组网图
3. 配置步骤
下面只列出Switch B和Switch C的配置过程。
配置Switch B:
# 配置isolate-user-vlan。
[Quidway] vlan 5
[Quidway-vlan5] isolate-user-vlan enable
[Quidway-vlan5] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway-vlan5] vlan 3
[Quidway-vlan3] port ethernet 0/1
[Quidway-vlan3] quit
[Quidway] vlan 2
[Quidway-vlan2] port ethernet 0/2
[Quidway-vlan2] quit
# 配置isolate-user-vlan和Secondary VLAN间的映射关系。
[Quidway] isolate-user-vlan 5 secondary 2 to 3
配置Switch C:
# 配置isolate-user-vlan。
[Quidway] vlan 6
[Quidway-vlan6] isolate-user-vlan enable
[Quidway-vlan6] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway] vlan 3
[Quidway-vlan3] port ethernet 0/3
[Quidway-vlan3] quit
[Quidway] vlan 4
[Quidway-vlan4] port ethernet 0/4
[Quidway-vlan4] quit
# 配置isolate-user-vlan和Secondary VLAN间的映射关系。
[Quidway] isolate-user-vlan 6 secondary 3 to 4
天下风云出我辈, 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯,不如网友的口碑;金奖银奖,不如网友的褒奖;熊掌鸭掌,不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”,群号:。& &?
通过ACL是可以做得到的
比如让交换机的VLAN2与VLAN3不允许通信,VLAN 2的IP是192.168.2.1 VLAN 3的IP是192.168.3.1
acl number 3000
rule 0 deny ip source 192.168.2.0 0.0.0.255 destination&&192.168.3.0 0.0.0.255
packet-filter inbound ip-group 3000 rule 0
华为的三层交换机默认vlan是可以互相访问的!受教了,那有没有把这个默认功能关闭的功能呢!
华为3层交换机可以关闭路由功能吗?
disable ip routing 还是设置好端口的的访问控制规则,控制vlan之间的访问吧还是。
提示: 作者被禁止或删除 内容自动屏蔽
:(mars_18): 学习ing
学习了:victory:
学习ING···:P
正需要这样的配置。学习中!
我用华为5328做好像这样配置不行?在5328三层交换机怎么配置ACL呢?比如说 vlan3 4 5 6&&都可以访问vlan7, 但vlan3 4 5 6 互相不能访问?谢谢!
做ACL策略是可以解决的,不能互访要双向做策略vlan的各种类型(mux,smart,QINQ)_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
vlan的各种类型(mux,smart,QINQ)
阅读已结束,下载文档到电脑
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,方便使用
还剩5页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢华为三层交换机如何让VLAN间不能互通配置
我的图书馆
华为三层交换机如何让VLAN间不能互通配置
『配置环境参数』1. 交换机E0/1和E0/2属于vlan102. 交换机E0/3属于vlan203. 交换机E0/4和E0/5属于vlan304. 交换机E0/23连接Server15. 交换机E0/24连接Server26. Server1和Server2分属于vlan40和vlan507. PC和Server都在同一网段8. E0/10连接BAS设备,属于vlan60『组网需求』1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访;2. Vlan10、vlan20和vlan30的PC均可以访问Server 1;3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2;4. vlan 10中的2端口的PC可以访问vlan 30的PC;5. vlan 20的PC可以访问vlan 30的5端口的PC;6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。2 数据配置步骤『端口hybrid属性配置流程』hybrid 属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的 端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。1. 先创建业务需要的vlan[SwitchA]vlan 10[SwitchA]vlan 20[SwitchA]vlan 30[SwitchA]vlan 40[SwitchA]vlan 502. 每个端口,都配置为 hybrid状态[SwitchA]interface Ethernet 0/1[SwitchA-Ethernet0/1]port link-type hybrid 3. 设置端口的pvid等于该端口所属的vlan[Switch-Ethernet0/1]port hybrid pvid vlan 10 4. 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为 该 vlan 的端口互通。5. 以下各端口类似:[Switch-Ethernet0/1]int e0/2[Switch-Ethernet0/2]port link-type hybrid[Switch-Ethernet0/2]port hybrid pvid vlan 10[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged[Switch-Ethernet0/2]int e0/3[Switch-Ethernet0/3]port link-type hybrid[Switch-Ethernet0/3]port hybrid pvid vlan 20[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged[Switch-Ethernet0/3]int e0/4[Switch-Ethernet0/4]port link-type hybrid[Switch-Ethernet0/4]port hybrid pvid vlan 30[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged[Switch-Ethernet0/4]int e0/5[Switch-Ethernet0/5]port link-type hybrid[Switch-Ethernet0/5]port hybrid pvid vlan 30[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged[Switch-Ethernet0/5]int e0/23[Switch-Ethernet0/23]port link-type hybrid[Switch-Ethernet0/23]port hybrid pvid vlan 40[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged[Switch-Ethernet0/24]int e0/24[Switch-Ethernet0/24]port link-type hybrid[Switch-Ethernet0/24]port hybrid pvid vlan 50[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged6. 在上行口E0/10上允许vlan10以tagged形式送出,其它为untagged[SwitchA]interface Ethernet 0/10[SwitchA-Ethernet0/10]port link-type hybrid[SwitchA-Ethernet0/10]port hybrid pvid vlan 60[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged本例中需求比较复杂,一般人员很难做到一次性在一个端口上指定哪些vlan允许通过,可以根据需求逐条配置,交换机支持在端口上多次设置。S系列交换机实现不同VLAN之间互访的配置一、组网需求:交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用Hybrid端口属性实现此功能。二、组网图:无三、配置步骤:1. 创建VLAN2[Quidway]vlan 22. 创建VLAN3[Quidway-vlan2]vlan 33. 创建VLAN4[Quidway-vlan3]vlan 44. 进入端口Ethernet1/0/1[Quidway-vlan4] interface Ethernet1/0/1 5. 将端口设置为hybrid模式[Quidway-Ethernet1/0/1]port link-type hybrid6. 设置端口pvid为1[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1 7. 允许VLAN1,2,3,4不打标签通过[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged8. 进入端口Ethernet1/0/2[Quidway-Ethernet1/0/1]interface Ethernet1/0/29. 将端口设置为hybrid模式 [Quidway-Ethernet1/0/2]port link-type hybrid 10. 设置端口pvid为2[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2 11. 允许VLAN1,2不打标签通过[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged 12. 进入端口Ethernet1/0/3[Quidway-Ethernet1/0/2]interface Ethernet1/0/3 13. 将端口设置为hybrid模式[Quidway-Ethernet1/0/3]port link-type hybrid 14. 设置端口pvid为3[Quidway-Ethernet1/0/3]port hybrid pvid vlan 315. 允许VLAN1,3不打标签通过[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged 16. 进入端口Ethernet1/0/4[Quidway-Ethernet1/0/3]interface Ethernet1/0/417. 将端口设置为hybrid模式 [Quidway-Ethernet1/0/4]port link-type hybrid18. 设置端口pvid为4[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4 19. 允许VLAN1,4不打标签通过[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged 四、配置关键点:1. 利用交换机以太网端口的Hybrid特性,可以实现PVLAN的功能。2. 采用Hybrid属性实现的PVLAN功能和PVLAN的工作机制存在较大差异,上述情况只适用于网络流量,网络用户较少的应用。S3000-EI系列交换机实现不同VLAN之间互访的配置一、组网:S3026C交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用PVLAN实现此功能。二、组网图:无三、配置步骤:1. 进入VLAN1[Switch] vlan 12. 设置VLAN1类型为isolate-user-vlan[Switch-vlan1] isolate-user-vlan enable3. 创建(进入)进入VLAN2[Switch-vlan1] vlan 24. 将端口E0/2加入VLAN2[Switch-vlan2] port ethernet0/25. 创建(进入)进入VLAN3[Switch-vlan2] vlan 36. 将端口E0/3加入VLAN3[Switch-vlan3] port ethernet0/37. 创建(进入)进入VLAN4[Switch-vlan3] vlan 48. 将端口E0/4加入VLAN4[Switch-vlan4] port ethernet0/49. 退出到系统视图[Switch-vlan4] quit10. 配置isolate-user-vlan和Secondary VLAN间的映射关系[Switch] isolate-user-vlan 1 secondary 2 to 4四、配置关键点:1. 目前S系列交换机S2403H、S2026Z-SI 、S2026C-SI与S3000系列都支持PVLAN,此处仅以S3026C为例,其他交换机配置相同;2. isolate-user-vlan不能和Trunk端口同时配置,即如果交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了Trunk端口,就不能配置isolate-user-vlan;isolate-user-vlan简介isolate- user-vlan是华为公司系列以太网交换机的一个特性,通过该特性可实现网络中VLAN资源的节约。isolate-user-vlan采用二层 VLAN结构,在一台以太网交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Secondary VLAN对应,isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate- user-vlan中包含的Secondary VLAN,简化了网络配置,节省了VLAN资源。同时,用户可以采用isolate-user-vlan实现二层报文的隔离,即为每个用户分配一个 Secondary VLAN,每个Secondary VLAN中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个Secondary VLAN中即可。2.2 isolate-user-vlan配置isolate-user-vlan配置包括:l 配置isolate-user-vlanl 配置Secondary VLANl 设置isolate-user-vlan和Secondary VLAN间的映射关系以上任务都是必选的,一旦启用isolate-user-vlan就必须配置。2.2.1 配置isolate-user-vlan可以使用下面的命令为一个以太网交换机创建一个isolate-user-vlan,并且向此isolate-user-vlan中添加端口。请在系统视图下进行创建VLAN的配置,在VLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端口的配置。表2-1 配置isolate-user-vlan*作 命令创建VLAN vlan vlan-id设置VLAN类型为isolate-user-vlan isolate-user-vlan enable取消VLAN为isolate-user-vlan的设置 undo isolate-user-vlan enable向isolate-user-vlan中添加端口 port interface-list一 台以太网交换机可以有多个isolate-user-vlan,可以为每个isolate-user-vlan指定多个端口。isolate-user- vlan不能和Trunk端口同时配置,即如果以太网交换机上配置了isolate-user-vlan,就不能配置Trunk端口;如果配置了 Trunk端口,就不能配置isolate-user-vlan。此外,上行端口必须添加到了isolate-user-vlan中。2.2.2 配置Secondary VLAN可以使用下面的命令来创建Secondary VLAN,并为Secondary VLAN指定端口。请在系统视图下进行下列配置。表2-2 配置Secondary VLAN*作 命令创建Secondary VLAN vlan vlan-id向Secondary VLAN中添加端口 port interface-list可以向每一个Secondary VLAN中添加多个端口(非上行端口)。2.2.3 配置isolate-user-vlan和Secondary VLAN间的映射关系可以使用下面的命令来建立isolate-user-vlan和Secondary VLAN之间的映射关系。请在系统视图下进行下列配置。表2-3 配置isolate-user-vlan和Secondary VLAN间的映射关系*作 命令配 置isolate-user-vlan和Secondary VLAN间的映射关系 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]取消配置isolate-user-vlan和Secondary VLAN间的映射关系 undo isolate-user-vlan isolate-user-vlan_num [secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]需要注意的是,执行该命令前,isolate-user-vlan和Secondary VLAN中都必须已经包含了端口。最多可以向一个isolate-user-vlan中映射30个Secondary VLAN。建立映射关系后,向isolate-user-vlan和Secondary VLAN中添加和删除端口以及删除VLAN的*作被系统禁止。只有在解除了映射关系后才可以执行。undo isolate-user-vlan命令如果不带参数secondary secondary_vlan_numlist的话,就解除所有Secondary VLAN和指定isolate-user-vlan的映射关系;如果带有该参数的话就解除参数指定的Secondary VLAN和指定isolate-user-vlan的映射关系。2.3 isolate-user-vlan显示和调试在完成上述配置后,在所有视图?葱衐isplay命令可以显示配置后isolate-user-vlan的运行情况,通过查看显示信息验证配置的效果。表2-4 isolate-user-vlan的显示与调试*作 命令显示isolate-user-vlan和Secondary VLAN的映射关系 display isolate-user-vlan [isolate-user-vlan_num | secondary_vlan_numlist ]显示VLAN信息 display vlan [ vlan-id ] 2.4 isolate-user-vlan典型配置举例1. 组网需求Switch A太网交换机下接Switch B、Switch C以太网交换机。Switch B上的VLAN5为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN2和VLAN3,VLAN3包含端口Ethernet 0/1,VLAN2包含端口Ethernet 0/2;Switch C上的VLAN6为isolate-user-vlan,包含上行端口Ethernet 1/1和两个Secondary VLAN:VLAN3和VLAN4,VLAN3包含端口Ethernet 0/3,VLAN4包含端口Ethernet 0/4。从Switch A 看,下接的Switch B、Switch C都只有一个VLAN:VLAN 5 和VLAN 6。2. 组网图图2-1 isolate-user-vlan配置组网图3. 配置步骤下面只列出Switch B和Switch C的配置过程。配置Switch B:# 配置isolate-user-vlan。[Quidway] vlan 5[Quidway-vlan5] isolate-user-vlan enable[Quidway-vlan5] port ethernet 1/1# 配置Secondary VLAN。[Quidway-vlan5] vlan 3[Quidway-vlan3] port ethernet 0/1[Quidway-vlan3] quit[Quidway] vlan 2[Quidway-vlan2] port ethernet 0/2[Quidway-vlan2] quit# 配置isolate-user-vlan和Secondary VLAN间的映射关系。[Quidway] isolate-user-vlan 5 secondary 2 to 3配置Switch C:# 配置isolate-user-vlan。[Quidway] vlan 6[Quidway-vlan6] isolate-user-vlan enable[Quidway-vlan6] port ethernet 1/1# 配置Secondary VLAN。[Quidway] vlan 3[Quidway-vlan3] port ethernet 0/3[Quidway-vlan3] quit[Quidway] vlan 4[Quidway-vlan4] port ethernet 0/4[Quidway-vlan4] quit# 配置isolate-user-vlan和Secondary VLAN间的映射关系。[Quidway] isolate-user-vlan 6 secondary 3 to 4
通过ACL是可以做得到的比如让交换机的VLAN2与VLAN3不允许通信,VLAN 2的IP是192.168.2.1 VLAN 3的IP是192.168.3.1命令如下acl number 3000rule 0 deny ip source 192.168.2.0 0.0.0.255 destination&&192.168.3.0 0.0.0.255 packet-filter inbound ip-group 3000 rule 0
TA的推荐TA的最新馆藏[转]&[转]&[转]&
喜欢该文的人也喜欢}
我要回帖
更多关于 h3c mux vlan 的文章
更多推荐
- ·苹果15参数、苹果15参数pro、苹果15参数promax的区别
- ·苹果15款pro值得买吗和苹果15款pro值得买吗pro有什么不同?
- ·excel表格可编辑区域缩小了怎么样把整个表格比例缩小放大解决?
- ·大家走路时突然眼前一黑是怎么回事会非常注意看地面看以避免踩到路上的小黑迹吗?为什么?
- ·wpswps电子表格宏设置在哪里怎么删除?
- ·神界神界3原罪增强版 幸运哪个汉化比较好
- ·洛克人zx前传修改器o区的所以芯片怎么拿
- ·dnf守护者转职龙骑士和dnf帕拉丁与龙骑士哪个好 什么时候开放
- ·界限凸城骑萌情编年史 宠物攻击和自身有关吗
- ·《冒险岛2狮门黄金宝箱》鲁德利列车站黄金宝箱在哪
- ·萌新抽到了这个原图了5宝尼姑,请问好用嘛
- ·《塞尔达传说荒野之息ns》全迷宫攻略 神殿神祠谜题怎么解
- ·新手求问培养一个爆伤大天狗狗最起码要多少钱
- ·大皇帝天赋120点需要多少三国杀将魂武将大全
- ·崩坏3rd 崩坏3rd火力补给列表有什么武器
- ·warframe冰队领取教程怎么领取
- ·dnf龙骑士异界换装BUFF怎么堆以及怎么换装讲解
- ·有没有什么麻将鼓励孩子100金句小学可以学学的?
- ·《无限的未知 百度云Win2003 完整安装版 V10》正式发布,怎么办
- ·我要做期货的朋友好好看看看,iPad Pro究竟能替代我的Mac做多少事情
- ·我设备配置了华为mux vlann,为什么不能互通
- ·我的卡西欧 登山表登山表PRW-6100Y测量高度,为什么同一个地点,好几次测出来的数值都不一样呢?
- ·三星note8上手视频国庆前能上手吗
- ·Intel酷睿i5 3470 盒和Intel赛扬j3355 J3355有什么区别
- ·joey my secret livefriend 这镜头简直美得不要不要的
- ·小米 flash tz errorr 怎么解决 手机变砖头了
- ·新款126334/126300悦本堂 问世人物频道后,劳力士3种DJ该怎么买
- ·哭晕,什么灯都键盘灯不亮按键没反应了,我想要我的数据怎么办
- ·amazfit米动手环亮相都有哪些功能?
- ·增量式光电编码器含义
- ·卡西欧登山表推荐PRW-6100的自动背光时间可以调整吗?感觉有点短,晚上没看清就熄了——
- ·gt1030支持geforce experience 2吗
- ·卡西欧登山表实用排行PRW-6100系列有节电功能白天会自动开启吗?
- ·a7r2静音如何设置快门对画质有影响吗
- ·TASCAMDR-701D便宜好用的单反相机机怎么样,好用吗
- ·乐视1s刷机后不能开机手机无法开机 维修时说要刷机但尾插和排线坏了 换一套要多少钱
