华三H3C交换机VLAN与VLAN之间如何做三层隔离？H3C VLAN隔离 华三交换机vlan间三层隔

华三H3C交换机VLAN与VLAN之间怎么做三层隔离？相信很多新手同学在学习交换机配置的过程中会发现，当三层交换机配置了vlan接口IP地址之后，所有的VLAN之间就算是不同的网段也就互通了，那么我们如何配置H3C VLAN隔离呢？下面就给大家通过实例教程的方式做演示，帮助大家解决问题，本文主要讲解：高级ACL包过滤策略做VLAN间隔离。

方法步骤：

实验环境：H3C HCL模拟器

实验拓扑：

实验要求：VLAN 10端口所接的PC不能ping通 VLAN 20 30下的计算机

实验过程：

1、创建VLAN 10 20 30 三条VLAN，并配置VLAN接口地址

VLAN10：192.168.10.254/24

VLAN20：192.168.20.254/24

VLAN30：192.168.30.254/24

//vlan 10配置
vlan 10
int vlan 10
ip add 192.168.10.254 24
 
//vlan 20配置
vlan 20
int vlan 20
ip add 192.168.20.254 24
 
//vlan 30配置
vlan 30
int vlan 30
ip add 192.168.30.254 24

2、配置三台PC IP地址为静态IP地址

PC_1：192.168.10.1/24

PC_2：192.168.20.1/24

PC_3：192.168.30.1/24

这里我就只演示一张图片：

3、分别按照上面的拓扑图将交换机：g1/0/1、g1/0/2、g1/0/3 三个端口分别加入：VLAN 10 20 30，代码如下：

vlan 10
port g1/0/1
 
vlan 20
port g1/0/2
 
vlan 30
port g1/0/3

到此，VLAN10 20 30就互通了，如下图所示：

4、通过配置ACL 策略包过滤对VLAN进行隔离，创建高级acl 3000，并设置策略防止：192.168.10.0段和另外两个网段互通。

acl advanced 3000
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
 
int vlan 10
packet-filter 3000 inbound

最终效果：

温馨提示：通过上面的实验相关配置，192.168.10.0网段就无法和其它VLAN下的两个网段PC互通了，但是，大家猜一下三条VLAN之间，还有哪些网段或IP地址能ping通？这个问题留给大家自行测试，这样有助于大家搞明白VLAN间通过ACL包过滤做隔离的原理，只有多练习、尝试不同的策略，才能加深和掌握H3C交换机的配置命令。