华为三层交换机禁止VLAN间通讯(两种解决方案)

在日常办公中,有时会禁止内网中各个部门间的访问,例如:

①访客不能访问内网任何终端及服务器

②财务部门不能被其他部门访问

实验环境:华为Ensp模拟器

内网架构:三层网络

环境说明:三层交换机承载着网关的作用,并且建立地址池提供DHCP服务

如下网络拓扑图:财务部和人事部分为两个VLAN

实验要求:人事和财务部之间不能互访

三层核心交换机配置:(配置接口类型,配置网关地址,配置地址池)

sys

sys CORE_SW_01

stp enable

dhcp enable

vlan batch 10 20

port-group 1

group-member g0/0/1 g0/0/2

p l t

p t a v a

q

ip pool 10

network 192.168.10.0 mask 24

gateway-list 192.168.10.1

dns-list 223.5.5.5

ip pool 20

network 192.168.20.0 mask 24

gateway-list 192.168.20.1

dns-list 223.5.5.5

int vlanif 10

ip add 192.168.10.1 24

dhcp select global

int vlanif 20

ip add 192.168.20.1 24

dhcp select global

汇聚交换机配置:(配置接口类型)

汇聚交换机1:

sys

sys CONVERGENCE_SW_01

stp enable

dhcp enable

vlan 10

port-group 1

group-member g0/0/1 g0/0/2 g0/0/24

p l t

p t a v a

q

汇聚交换机2:

sys

sys CONVERGENCE_SW_02

stp enable

dhcp enable

vlan 20

port-group 1

group-member g0/0/1 g0/0/2 g0/0/24

p l t

p t a v a

q

接入交换机配置:(配置接口类型)

接入交换机1:

sys

sys ACCESS_SW_01

stp enable

dhcp enable

vlan 10

int g0/0/2

p l t

p t a v a

int e0/0/1

p l a

p d v 10

q

接入交换机2:

sys

sys ACCESS_SW_02

stp enable

dhcp enable

vlan 10

int g0/0/2

p l t

p t a v a

int e0/0/1

p l a

p d v 10

q

接入交换机3:

sys

sys ACCESS_SW_03

stp enable

dhcp enable

vlan 20

int g0/0/2

p l t

p t a v a

int e0/0/1

p l a

p d v 20

q

接入交换机4:

sys

sys ACCESS_SW_04

stp enable

dhcp enable

vlan 20

int g0/0/2

p l t

p t a v a

int e0/0/1

p l a

p d v 20

q

打开终端设备,开启DHCP

查看获取的ip(PC1和PC2在一个网段,PC5和PC6在一个网段)

PC1pingPC2(同一个VLAN之间可ping通)

PC1pingPC5(不同VLAN之间也可ping通)

禁止VLAN10与VLAN20间通讯

首先要声明一个阻断两个VLAN间访问的ACL

acl 3001
rule 5 deny ip source 192.168.10.1 0.0.0.255 destination 192.168.20.1 0.0.0.255

两种方法实现:(都是使用流策略的方式)

方法一:流量过滤

traffic-filter vlan 10 inbound acl 3001
方法二:流量策略

traffic classifier c1 operator or
if-match acl 3001
q
traffic behavior b1
deny
q
traffic policy deny_con
classifier c1 behavior b1
q
vlan 10
traffic-policy deny_con inbound
q

命令执行后,发现VLAN间无法ping通

结论:两个方法均能禁止VLAN间的通信

网友给的总结:traffic-filter主要侧重于流量的过滤,而traffic-policy则主要侧重于流量的优化和控制。

相关推荐
luj_17683 小时前
残熵算法实时化三大瓶颈突破
c语言·开发语言·网络·经验分享·算法
吴懿不在3 小时前
某次热身赛re方向wp WORDS 51,500 READ 172 MIN base64,
网络
全堆鸿蒙5 小时前
27 RdbPredicates 条件查询详解:EqualTo、OrderBy、组合条件
华为·harmonyos·鸿蒙系统
心中有国也有家5 小时前
AtomGit Flutter 鸿蒙客户端: ChangeNotifier 模式
学习·flutter·华为·harmonyos
RisunJan6 小时前
Linux命令-rlogin(远程登录)
linux·运维
国服第二切图仔6 小时前
HarmonyOS APP《画伴梦工厂》开发第59篇-碰一碰精准分享——跨设备素材插入
华为·harmonyos
深圳恒讯6 小时前
菲律宾云服务器与传统VPS的架构差异
运维·服务器·架构
hqzing6 小时前
在鸿蒙 PC 上使用 Claude Code(最新的 Bun 版本)
华为·harmonyos
蓝天下的守望者6 小时前
svt_apb_if里的宏定义问题
运维·服务器·数据库
小林ixn6 小时前
从“玩具工具”到“跨语言利器”:MCP 协议实战解析
运维·服务器·网络