h3c acl vlan间互访控制

Posted 2023-04-02

h3c s3610一台，s2126两台，2126分别接在3610的23,24口，共划分10个vlan（10,20。。。100），按端口划分，每一个vlan单独一段IP，如何通过acl列表禁止vlan间互访，但都可以访问vlan100

1、先把基础工作做好，就是配置VLAN，配置Trunk，确定10个VLAN和相应的端口都正确。假设10个VLAN的地址分别是192.168.10.X，192.168.20.X。。。。。。192.168.100.X，与VLAN号对应。
2、为第一个VLAN 10创建一个ACL，命令为
ACL number 2000
这个2000号，可以写的数是2000-2999，是基本的ACL定义。
然后在这个ACL下继续定义rule，例如
rule 1 deny source 192.168.20.0
rule 2 deny source 192.168.30.0
rule 3 deny source 192.168.40.0
rule 4 deny source 192.168.50.0
rule 5 deny source 192.168.60.0
rule 6 deny source 192.168.70.0
rule 7 deny source 192.168.80.0
rule 8 deny source 192.168.90.0
然后进入VLAN接口
interface vlan 10
在vlan 10接口下，启用上面定义的规则：
packet-filter outbound ip-group 2000
这应该就可以了，其它VLAN也按这个方法定义。
这一句：packet-filter outbound ip-group 2000 设备有可能不支持，那你就得换种方法定义ACL，使用3000-3999之间的扩展ACL定义：
rule 1 deny destination 192.168.20.0
....
然后在vlan接口下启用
packet-filter inbound ip-group 3000 参考技术A 这就相当麻烦了，需要在双方的交换机中进行acl而且ip需要一个一个设置，还关于源到目地。
你最好把vlan10到90是一个大网段，比如192.168.1.2 至192.168.9.2 vlan100为 192.126.10.2
这样在两个交换机上做acl只要禁止192.168.0.0就行了。 参考技术B vlan 是在2126上分还是在3610上分啊，还是两边都分啊，说明白了才能帮你

华为三层交换机S5700做ACL访问控制列表限制不同vlan间的通信

组网情况：华为核心三层S5700下边接入了5个接入二层交换机。现在是在核心交换机上划分了五个vlan
vlan1 192.168.1.10 vlan2 192.168.2.20 vlan3 192.168.3.30 vlan4 192.168.4.40 vlan5 192.168.5.50
五台二层接入交换机分别对应划分vlan1 vlan2 vlan3 vlan4 vlan5 需求是vlan1 vlan2 vlan3 vlan4 不能互相访问但是可以同时访问vlan5 这个需求如何用acl访问控制实现

针对这种情况，是不需要ACL功能来实现的，而且ACL也实现不了这种功能的。正确的配置方法应该是vlan的配置，只需要将vlan5包含的端口都加入到vlan1、2、3、4，也就是vlan5包含的端口都是trunk端口或者是hybrid端口，这样这些端口就属于多个vlan，也就是这些端口针对vlan1、2、3、4的报文就不会被丢弃，所以也就能达到目的了！ 参考技术A 配置pvlan，把vlan1、2、3、4配置成孤立vlan，5配置成杂合vlan