華三H3C交換機(jī)VLAN與VLAN之間怎么做三層隔離？相信很多新手同學(xué)在學(xué)習(xí)交換機(jī)配置的過程中會發(fā)現(xiàn)，當(dāng)三層交換機(jī)配置了vlan接口IP地址之后，所有的VLAN之間就算是不同的網(wǎng)段也就互通了，那么我們?nèi)绾闻渲肏3C VLAN隔離呢？下面就給大家通過實(shí)例教程的方式做演示，幫助大家解決問題，本文主要講解：高級ACL包過濾策略做VLAN間隔離。

方法步驟：

實(shí)驗(yàn)環(huán)境：H3C HCL模擬器

實(shí)驗(yàn)拓?fù)洌?/span>

實(shí)驗(yàn)要求：VLAN 10端口所接的PC不能ping通 VLAN 20 30下的計算機(jī)

實(shí)驗(yàn)過程：

1、創(chuàng)建VLAN 10 20 30 三條VLAN，并配置VLAN接口地址

VLAN10：192.168.10.254/24

VLAN20：192.168.20.254/24

VLAN30：192.168.30.254/24

//vlan 10配置
vlan 10
int vlan 10
ip add 192.168.10.254 24
 
//vlan 20配置
vlan 20
int vlan 20
ip add 192.168.20.254 24
 
//vlan 30配置
vlan 30
int vlan 30
ip add 192.168.30.254 24

2、配置三臺PC IP地址為靜態(tài)IP地址

PC_1：192.168.10.1/24

PC_2：192.168.20.1/24

PC_3：192.168.30.1/24

這里我就只演示一張圖片：

3、分別按照上面的拓?fù)鋱D將交換機(jī)：g1/0/1、g1/0/2、g1/0/3 三個端口分別加入：VLAN 10 20 30，代碼如下：

vlan 10
port g1/0/1
 
vlan 20
port g1/0/2
 
vlan 30
port g1/0/3

到此，VLAN10 20 30就互通了，如下圖所示：

4、通過配置ACL 策略包過濾對VLAN進(jìn)行隔離，創(chuàng)建高級acl 3000，并設(shè)置策略防止：192.168.10.0段和另外兩個網(wǎng)段互通。

acl advanced 3000
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
 
int vlan 10
packet-filter 3000 inbound

最終效果：

溫馨提示：通過上面的實(shí)驗(yàn)相關(guān)配置，192.168.10.0網(wǎng)段就無法和其它VLAN下的兩個網(wǎng)段PC互通了，但是，大家猜一下三條VLAN之間，還有哪些網(wǎng)段或IP地址能ping通？這個問題留給大家自行測試，這樣有助于大家搞明白VLAN間通過ACL包過濾做隔離的原理，只有多練習(xí)、嘗試不同的策略，才能加深和掌握H3C交換機(jī)的配置命令。