H3C 三层交换机 设置俩vlan不能相互通信,只能访问某个端口,且其中一个vlan不能上网

时间  2019-11-08
标签 h3c 三层 交换机 设置 vlan 不能 相互 通信 只能 访问 某个 端口 其中 一个 上网 栏目 C&C++ 繁體版
原文   原文链接

三层交换机 S5500与 路由器ER5200G2 相关配置bash

设定3个VLAN  VLAN十、 VLAN20、 VLAN30tcp

VLAN10与VLAN30相互互通、可是与VLAN20不通ide


项目需求三层交换机 建立三个VLAN oop

vlan 10  :192.168.10.1 255.255.255.0ui

vlan 20  :192.168.20.1 255.255.255.0spa

vlan 30  :192.168.30.1 255.255.255.0server


开启DHCP 功能容许客户端设备经过三层交换机自动获取IP地址dns


设定vlan10与vlan30能够相互通信访问,可是不能与vlan20互通接口

容许全部IP能够访问vlan20的2598端口ip

容许全部IP能够访问192.168.20.150  443 端口

容许全部IP能够访问192.168.20.110  443 端口

容许全部IP能够访问192.168.20.110  80  端口

容许全部IP能够访问192.168.20.160  27000 端口

禁止any访问vlan 20

禁止vlan20访问any


项目需求路由器设定

wan01 设定固定公网IP

wan02 设定DHCP 获取IP (或已经知道的PPPOE设备提供的IP)






<H3C>system-view
[H3C]vlan 10//建立vlan 十、20、 30
[H3C]vlan 20
[H3C]vlan 30
[H3C]interface vlan10//进入vlan10 配置ip地址
[H3C-Vlan-interface10]ip address 192.168.10.1 255.255.255.0
[H3C-Vlan-interface10]quit
[H3C]interface vlan20//进入vlan20 配置ip地址
[H3C-Vlan-interface20]ip address 192.168.20.1 255.255.255.0
[H3C-Vlan-interface20]quit
[H3C]interface vlan30//进入vlan30 配置ip地址
[H3C-Vlan-interface30]ip address 192.168.30.1 255.255.255.0
[H3C-Vlan-interface30]quit
[H3C]inter range g1/0/1 to g1/0/16     //进入多端口1-16 设置接口模式 而且加入vlan10
[H3C]port link-mode bridge
[H3C]port access vlan 10
[H3C]inter range g1/0/17 to g1/0/20    //进入多端口17-20 设置接口模式  而且加入vlan20
[H3C]port link-mode bridge
[H3C]port access vlan 20
[H3C]dhcp enable//开启DHCP服务
[H3C]dhcp server ip-pool vlan10        //为vlan10 开启DHCP 而且设置地址池
[H3C-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0    //设置地址池
[H3C-ip-pool-vlan10] gateway-list 192.168.10.1 //设置网关
[H3C-ip-pool-vlan10] dns-list 192.168.5.1 //设置dns  由于我这边的路由器的地址是192.168.5.1
[H3C-ip-pool-vlan10] expired day 8//设置有效期8天
[H3C-ip-pool-vlan10] quit
[H3C]dhcp server ip-pool vlan20        //为vlan10 开启DHCP 而且设置地址池
[H3C-ip-pool-vlan20] network 192.168.20.0 mask 255.255.255.0    //设置地址池
[H3C-ip-pool-vlan20] gateway-list 192.168.20.1 //设置网关
[H3C-ip-pool-vlan20] dns-list 192.168.5.1 //设置dns  由于我这边的路由器的地址是192.168.5.1
[H3C-ip-pool-vlan20] expired day 8//设置有效期8天
[H3C-ip-pool-vlan20] quit
[H3C]dhcp server ip-pool vlan30        //为vlan10 开启DHCP 而且设置地址池
[H3C-ip-pool-vlan30] network 192.168.30.0 mask 255.255.255.0    //设置地址池
[H3C-ip-pool-vlan30] gateway-list 192.168.30.1 //设置网关
[H3C-ip-pool-vlan30] dns-list 192.168.5.1 //设置dns  由于我这边的路由器的地址是192.168.5.1
[H3C-ip-pool-vlan30] expired day 8//设置有效期8天
[H3C-ip-pool-vlan30] quit
[H3C]interface GigabitEthernet1/0/23//设置23号端口链接路由器开启route模式并设置ip
[H3C]port link-mode route
[H3C]ip address 192.168.5.2 255.255.255.0 
[H3C]quit
[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.5.1//设置静态路由器 全部访问下一跳地址是路由器192.168.5.1
[H3C]interface GigabitEthernet1/0/24//设置24号端口 开启trunk模式运行全部vlan经过,而且开启dhcp-snooping trust
[H3C] port link-mode bridge
[H3C] port link-type trunk
[H3C] port trunk permit vlan all
[H3C] dhcp-snooping trust
[H3C]acl number 3000//设置高级策略3000
[H3C-acl-number-3000]rule 20 permit tcp source any destination 192.168.20.0 0.0.0.255 destination-port eq 2598 //设置 策略20 全部ip能够访问vlan20的2598端口
[H3C-acl-number-3000]rule 21 permit tcp source any destination 192.168.20.150 0 destination-port eq 443 //设置 策略21 全部ip能够访问192.168.20.150的443端口
[H3C-acl-number-3000]rule 22 permit tcp source any destination 192.168.20.110 0 destination-port eq 443 //设置 策略22 全部ip能够访问192.168.20.110的443端口
[H3C-acl-number-3000]rule 23 permit tcp source any destination 192.168.20.110 0 destination-port eq 80//设置 策略23 全部ip能够访问192.168.20.110的80端口
[H3C-acl-number-3000]rule 24 permit tcp source any destination 192.168.20.160 0 destination-port eq 27000 //设置 策略24 全部ip能够访问192.168.20.160的27000端口
[H3C-acl-number-3000]rule 30 deny ip source any destination 192.168.20.0 0.0.0.255 //设置 策略30 禁用全部ip访问vlan20
[H3C-acl-number-3000]rule 31 deny ip source 192.168.20.0 0.0.0.255 destination any//设置 策略31 禁用vlan20访问全部ip
[H3C-acl-number-3000]quit
[H3C]acl number 3001//设置高级策略3001
[H3C-acl-number-3001] rule 10 permit tcp source 192.168.20.0 0.0.0.255 source-port eq 2598 destination any//设置 策略10 vlan20的2598端口能够被全部ip访问 
[H3C-acl-number-3001] rule 11 permit tcp source 192.168.20.150 0 source-port eq 443 destination any//设置 策略11 192.168.5.150的443端口能够被全部ip访问
[H3C-acl-number-3001] rule 12 permit tcp source 192.168.20.110 0 source-port eq 443 destination any//设置 策略12 192.168.5.110的443端口能够被全部ip访问
[H3C-acl-number-3001] rule 13 permit tcp source 192.168.20.160 0 source-port eq 27000 destination any//设置 策略13 192.168.5.160的27000端口能够被全部ip访问
[H3C-acl-number-3001] rule 14 permit tcp source 192.168.20.110 0 source-port eq www destination any//设置 策略11 192.168.5.110的80端口能够被全部ip访问
[H3C-acl-number-3001] rule 20 deny ip source any destination 192.168.20.0 0.0.0.255 //设置 策略20 禁用全部ip访问vlan20
[H3C-acl-number-3001] rule 21 deny ip source 192.168.20.0 0.0.0.255 destination any//设置 策略21 禁用vlan20访问全部ip
[H3C-acl-number-3001]quit
[H3C] interface Vlan-interface10//进入vlan10
[H3C-Vlan-interface10]packet-filter 3000 inbound//应用策略3000到vlan上面
[H3C-Vlan-interface10]quit
[H3C] interface Vlan-interface20//进入vlan20
[H3C-Vlan-interface20]packet-filter 3000 inbound//应用策略3000到vlan上面
[H3C-Vlan-interface20]quit
[H3C] interface Vlan-interface30//进入vlan30
[H3C-Vlan-interface30]packet-filter 3001 inbound//应用策略3001到vlan上面
[H3C-Vlan-interface30]quit
[H3C]save//保存配置

到此三层交换机已经配置好


路由器设置

登入网页版

配置wan1 设置为固定IP 

IP:192.168.1.199 

子网掩码:255.255.255.0

网关:192.168.1.1

DNS:192.168.1.1


配置wan2 设置为DHCP

配置vlan一、 二、 三、 四、 容许全部的vlan经过


设置高级-静态路由容许那个网段上网vlan10 30

192.168.10.0 255.255.255.0 下一跳 192.168.5.2 vlan1

192.168.30.0 255.255.255.0 下一跳 192.168.5.2 vlan1

保存路由器 便可

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程