求教呀!三层交换机H3C S5500连接二层交换机H3C S3100,做ACL 华三二层acl设置
H3C\u4e09\u5c42\u4ea4\u6362\u673a\u914d\u7f6eACL\uff1aACL\u53ef\u4ee5\u8fd9\u6837\u5199\uff1a
acl number 3000
rule 5 permit ip source 192.168.33.0 0.0.0.255 destination 192.168.142.106 0
rule 10 deny ip source 192.168.33.0 0.0.0.255 destination 192.168.142.0 0.0.0.255
rule 15 permit ip
\u7136\u540e\u5728vlan\u4e0b\u542f\u7528ACL\uff1a
interface vlan 33\uff08192.168.33.0/24\u6240\u5728\u7684vlan\u63a5\u53e3\uff0c\u5728vlan \u63a5\u53e3\u4e0b\uff0c\u542f\u7528\u4e0a\u9762\u5b9a\u4e49\u7684\u89c4\u5219\uff09
packet-filter inbound ip-group 3000
\u56de\u7b54\u4e0d\u8349\u7387\uff0c\u6211\u4ed4\u7ec6\u9a8c\u8bc1\u540e\uff0c\u4e0b\u9762\u7684\u914d\u7f6e\u624d\u884c\u3002\u7b2c\u4e00\u6b21\u56de\u7b54\u7684\u6211\u7ed9\u5220\u4e86
\u6211\u8fd9\u4e2a\u662f\u5728\u4e09\u5c42\u4ea4\u6362\u4e0a\u9762\u914d\u7f6e\u7684
\u5982\u4e0b\uff1a\u91c7\u7528\u5982\u4e0b\u7684\u601d\u8def\u914d\u7f6e\u4e8c\u5c42ACL\uff1a
1\u3001\u914d\u7f6eACL\u3002
2\u3001\u914d\u7f6e\u6d41\u5206\u7c7b\u3002
3\u3001\u914d\u7f6e\u6d41\u884c\u4e3a\u3002
4\u3001\u914d\u7f6e\u6d41\u7b56\u7565\u3002
5\u3001\u5728\u63a5\u53e3\u4e0a\u5e94\u7528\u6d41\u7b56\u7565\u3002
\u64cd\u4f5c\u6b65\u9aa4\uff1a
1\u3001\u914d\u7f6eACL\u3002
acl 4000
rule 5 deny source-mac 3496-72a9-c20e
quit
2\u3001\u914d\u7f6e\u6d41\u5206\u7c7btc1
traffic classifier tc1
if-match acl 4000
quit
3\u3001\u914d\u7f6e\u6d41\u884c\u4e3a\u3002tb1
traffic behavior tb1
deny
traffic behavior tb1
4\u3001\u914d\u7f6e\u6d41\u7b56\u7565\u3002\u5c06\u6d41\u5206\u7c7btc1\u4e0e\u6d41\u884c\u4e3atb1\u5173\u8054
traffic policy tp1
classifier tc1 behavior tb1
quit
5\u3001\u5728\u63a5\u53e3\u4e0a\u5e94\u7528\u6d41\u7b56\u7565\u3002
interface gigabitethernet 0/0/22
traffic-policy tp1 inbound
quit
\u82e5\u4f60\u9700\u8981\u589e\u52a0\u6216\u8005\u4fee\u6539\u4e3b\u673a\u53ea\u9700\u8981\u5728acl4000\u91cc\u9762\u4fee\u6539\u5373\u53ef\u3002
\u521a\u521a\u6211\u4f7f\u7528ensp\u6d4b\u8bd5\u4e86\u4e0b\uff0c\u8fd9\u4e2a\u63a7\u5236\u6d41\u5206\u7c7b\u7684\u65b9\u6cd5\u662f\u53ef\u4ee5\u7684\u3002 \u7528\u5fc3\u56de\u7b54\uff0c\u671b\u91c7\u7eb3\uff01
S31和S55直接连接的端口需要做trunk接口,两边接口都使用这个命令
port link-type trunk
port trunk permit vlan all
交换机到路由器的路由怎样配 ?
s55上一条默认路由
ip rou 0.0.0.0 0.0.0.0 192.168.1.1
路由器到交换机路由怎样配?
路由器是web页面的,目的网段192.168.0.0 目的掩码255.255.0.0 下一跳192.168.1.254
如何实现全网互通 ?
完成如上操作,全网就已经通了。
如何禁止个别vlan互访,比如vlan10只允许跟vlan20、vlan30通信,而拒绝其他vlan
而vlan30只允许跟vlan40通信,拒绝其他vlan
这个比较麻烦了,在这里就不写了,命令挺多,可以参照操作手册。
如何实现DHCP为各vlan分配IP地址 ?(这点可以不做)
这个要看S55是否是EI的,是的话就支持dhcp server 不是就不支持了。
前提是所有vlan 都能访问外网。
访问外网最后需要在路由器上开通192.168所以网段的上网规则就可以。
1 配VLAN IP是配置管理IP
2 交换机到路由器设置为port mode acc,并加入VLAN 1
3 不用配置
4 s5500指定默认路由 0.0.0.0 0.0.0.0 192.168.1.1
5vlan默认全部允许互访,ACL设置的是单向的,所以都要设定,最后把ACL加到接口上。例子vlan10与20不能互访
acl nu 3000
rule 10 deny ip so 192.168.10.0 0.0.0.255 des 192.168.20.0 0.0.0.255
rule 20 deny ip so 192.168.20.0 0.0.0.255 des 192.168.10.0 0.0.0.255
别追问,就那么多了。
扩展阅读:三层交换机拓扑图配置 ... h3c官网登录入口 ... h3c交换机的管理网址 ... h3c s3100v2 series ... 二层三层交换机图解 ... h3c三层交换机配置 ... h3c s1024交换机参数 ... 三层交换机实现vlan间路由 ... 华三三层交换机vlan间互通 ...
