不同网段组网 - 不同VLAN间隔离（静态IP）

创作时间:

作者:

@小白创作中心

不同网段组网 - 不同VLAN间隔离（静态IP）

引用

CSDN

https://m.blog.csdn.net/Moxin1044/article/details/144605745

本文将介绍如何通过三层交换机S5700实现不同VLAN间的隔离。具体来说，我们将通过配置VLAN和访问控制列表（ACL），使得两个不同VLAN（VLAN10和VLAN20）内的设备无法互相通信，同时保持VLAN内部设备的通信能力。

拓扑图

实验目的

通过三层交换机S5700进行VLAN配置，使得PC1、PC2（192.168.1.0/24）与PC3、PC4（192.168.2.0/24）隔离。

实验过程

经过上一个内容的配置，我们发现好像不同VLAN间是可以通信的，但是就来了新的要求了：VLAN10和VLAN20不能互通。
老样子，先画完拓扑，并且我们得知PC1、PC2在VLAN10，PC3、PC4在VLAN20。
配置IP地址：

PC1：
192.168.1.1
255.255.255.0
192.168.1.254

PC2：
192.168.1.2
255.255.255.0
192.168.1.254

PC3：
192.168.2.1
255.255.255.0
192.168.2.254

PC4：
192.168.2.2
255.255.255.0
192.168.2.254
其实当我们目前这个状态，没有配置交换机，就已经达到了PC1、PC2互通，PC3、PC4互通了。
配置交换机

<Huawei>system-view
[SW1]sysname SW1
[SW1]undo info-center enable
[SW1]vlan batch 10 20
[SW1]int GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]q
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]q
[SW1]int GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1-GigabitEthernet0/0/3]q
[SW1]int GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 20
[SW1-GigabitEthernet0/0/4]q
[SW1]q
<SW1>save

此时配置完成，使用PC1去Ping PC2，可以通信，使用PC1去Ping PC3，无法通信。但是！！！我们还没有配置网关地址，这肯定是必然的。
补齐网关配置

<Huawei>system-view
[SW1]int Vlanif 10
[SW1-Vlanif10]ip add 192.168.1.254 24
[SW1-Vlanif10]int Vlanif 20
[SW1-Vlanif20]ip add 192.168.2.254 24
[SW1-Vlanif20]

测试

此时，PC1能通到PC2、PC3、PC4了，但是我们的目的是隔离。

阻断 VLAN10 与 VLAN20 间通信

声明一个阻断两个VLAN间访问的ACL

[SW1]acl 3001
[SW1-acl-adv-3001]rule 5 deny ip source 192.168.1.1 0.0.0.255 destination 192.16
8.2.1 0.0.0.255
[SW1-acl-adv-3001]traffic-filter vlan 10 inbound acl 3001

此时即完成了通过ACL进行阻断了，VLAN10只能访问VLAN10的机器，VLAN20只能访问VLAN20的设备了。