S2700-EI支援豐富的ACL策略控制,特別支援基於VLAN下發ACL規則,實現VLAN內多端口的靈活控制和統一資源調度。而S3700、S5700更是三層交換機,以及爲運營商提供的S2300、S3300、5300以及S9300,當然支援基於VLAN的ACL,而華三的交換機, 二層交換
PC3直連 SW2 屬於 vlan 2,網關爲 vlanif 2 接口地址192.168.2.1/24;
PC4直連 SW2 屬於 vlan 3,網關爲 vlanif 3 接口地址 192.168.3.1/24;
S2700-EI支援豐富的ACL策略控制,特別支援基於VLAN下發ACL規則,實現VLAN內多端口的靈活控制和統一資源調度。而S3700、S5700更是三層交換機,以及爲運營商提供的S2300、S3300、5300以及S9300,當然支援基於VLAN的ACL,而華三的交換機, 二層交換
PC5直連 SW3 屬於 vlan 4,網關爲 vlanif 4 接口地址 192.168.4.1/24;
你的是單臂路由器。需要透過配置子接口。。。 如果你的交換機是三層的話,直接在交換機上配置VLAN間互訪即可。
透過配置實現各PC 電腦之間的互訪通信
假設5700的0/0/1口接路由器,並且分配的地址是1.1.1.2/30,vlan10,然後劃分vlan20,(地址 vlanif 10 #進入vlan10接口 ip address 1.1.1.2 30 #爲vlan10分配三層接口地址 quit vlan 2
材料/工具
華爲三層交換機
配置vlan 1、生成、修改以太網VLAN 第一步:system-view 進入配置狀態 第二步:vlan vlan-id 輸入一個VLAN號,然後進入VLAN配置狀態, 可以輸入一個新的VLAN號或舊的來進
方法
創建 vlan
interface Vlanif1 //Vlan1的三層接口 ip address dhcp-alloc //設定Vlan1的三層接口從DH authentication-mode none //認證模式無,即直接telnet該交換機地址不需要認證就可以登
<SW1> system-view//進入系統模式
(3)在三層交換機上配置VLAN2、VLAN3,此時驗證二層交換機VLAN2、VLAN3下帶主機之間不能互相通信; (4)設定三層交換機VLAN間通信,創建VLAN2、3的虛擬接口,並配置
[SW1] vlan batch 2 to 5 //批量新建 vlan 2 到 5
華爲交換機劃分Vlan方法很多,基於端口的是最常見的一種,具體方法: 1、首先創建vlan:vlan xx 2、把接口放入vlan中,有兩種方法: 1.在vlan視圖下:port interface x x 2.在接口視
把接口加入相應 vlan,並配置端口屬性。
實現的方法很多其實 你可以在1樓2樓3樓分別設定爲vlan2 3 4 不過不要在2層交換上劃分vlan而已 在三層上劃分 然後在三層每個vlan的in方向做vlan不能互通的acl就行了 server
# SW1----SW2---PC,接口配置成 trunk 模式
這是你們的核心交換機麼?能不能麻煩您提供一下核心交換機Vlan的作用端口,就是說每個vlan的匯聚口是哪個,然後我試試給一段命令腳本給您試試……
[SW1] interface GigabitEthernet 0/0/2
交換機都支援 華爲交換機連接普通24換機端口設定爲trunk模式,然後在把pc1和pc3劃分到vlan 1 ; pc2和pc4劃分到vlan 2就可以了。 普通24換機不能配置vlan,那就需
[SW1-GigabitEthernet0/0/2] port link-type trunk //鏈路類型爲 trunk 模式[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 3
交換路由器”或者“路由交換機”。因爲高端設備看板卡的配置。 以華爲爲例,華爲 3層板之分!2層就是交換板,3層是路由板,如果是交換板,只能在VLAN接口下配置IP,如果
[SW1-GigabitEthernet0/0/2] quit#
100中,f0/6– 10口劃分到vlan 200中,f0/11 – 15號端口劃分到vlan 300中,並全部配置成access模式。 3:使用show vlan顯示SW3的vlan配置資訊,可以看出配置正確) 4:交換機如
SW1---SW3---PC,接口配置成 access 模式
hcp-server 0 192.168.1.1 dhcp服務器地址 # int vlan 1 dhcp-server 0 # 基本上就是這樣了。在vlan接口下綁定dhcp。 可以上華爲網站找數據通信下載手冊找dhcp設定
[SW1] interface GigabitEthernet0/0/3
三層交換機上劃分vlan,配置VLAN if接口ip,就能夠實現vlan互訪。 訪問:在交換機上面配置默認路由,下一跳地址指向路由器連接交換機的接口IP。路由器配置默認路由,下一
[SW1-GigabitEthernet0/0/3] port link-type access //鏈路類型爲 access[SW1-GigabitEthernet0/0/3] port default vlan 4
並方通所有vlan透過。 而S3352的23端口如果對方也是交換機的話也是一樣設定trunk,對端也的設定trunk就可以了。 trunk就是透傳vlan資訊的端口模式。但trunk必須成對使用
[SW1-GigabitEthernet0/0/3] quit
hybrid還是trunk,如果查不到,就說明它是默認端口類型,S23&33&53系列的交換機默認端口類型是hybird 如果接口有類似: 1. port link-type access 或者 port default vlan 2 //vlan 2是
配置 IP 位址做爲 PC 電腦的網關
看看設定了vlan的接口地址後你給這個vlan分配端口沒有?可以檢視一下接口狀態是不是up的?思科交換機端口默認都是關閉的,必須 no shut一下
[SW1] interface Vlanif 2 //進入三層 vlanif2 接口[SW1-Vlanif2] ip address 192.168.2.1 255.255.255.0//配置 ip 地址
[SW1-Vlanif2] quit //退出 vlanif2 接口
[SW1] interface Vlanif 3
[SW1-Vlanif3] ip address 192.168.3.1 255.255.255.0
[SW1-Vlanif3] quit
[SW1] interface Vlanif 4
[SW1-Vlanif4] ip address 192.168.4.1 255.255.255.0
[SW1-Vlanif4] quit
配置 ip 地址實現和 R 路由器互聯[SW1] interface Vlanif 5[SW1-Vlanif5] ip address 192.168.5.1 24 //對接 R 路由器的互聯 IP 位址配置完成後儲存配置<SW1> save
創建 vlan
interface Vlanif1 //Vlan1的三層接口 ip address dhcp-alloc //設定Vlan1的三層接口從DH authentication-mode none //認證模式無,即直接telnet該交換機地址不需要認證就可以登
<Huawei> system-view//進入系統模式[Huawei] sysname SWS //修改系統名從[SW2] vlan batch 2 3 //新建 vlan 2 3接口
透傳 vlan# SW2----SW1,接口配置成 trunk 模式
[SW2] interface GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1] port link-type trunk //配置鏈路類型爲 trunk
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
[SW2-GigabitEthernet0/0/1] quit
SW2---PC,接口需要配置成 access 模式
[SW2] interface GigabitEthernet0/0/23 //對接 PC1
[SW2-GigabitEthernet0/0/23] port link-type access //鏈路類型爲 access[SW2-GigabitEthernet0/0/23] port default vlan 2
[SW2-GigabitEthernet0/0/23] quit
[SW2] interface GigabitEthernet0/0/24 //對接 PC2
[SW2-GigabitEthernet0/0/24] port link-type access
[SW2-GigabitEthernet0/0/24] port default vlan 3
[SW2-GigabitEthernet0/0/24] quit
<SW2> save
此時PC3和PC4能夠互通,和PC5不能夠互通,驗證一下。
擴展閱讀,以下內容您可能還感興趣。
華爲交換機可不可以基於VLAN做ACL,而不是物理端口,具體是什麼型號,新手啊,好多都不懂
S2700-EI支援豐富的ACL策略控制,特別支援基於VLAN下發ACL規則,實現VLAN內多端口的靈活控制和統一資源調度。而S3700、S5700更是三層交換機,以及爲運營商提供的S2300、S3300、5300以及S9300,當然支援基於VLAN的ACL,而華三的交換機, 二層交換機需要是EI型號,比如 S3100-26TP-EI,而SI類應該是有問題,沒有試過,華三 S3600、S5120EI,S5500,S5800,S7500及以上三層交換機也都支援基於VLAN的ACL。
在思科設備上,有VLAN ACL和VACL的區別:
我們常說的VLAN之間的訪問控制,它的實現方式是將ACL直接應用到VLAN的虛端口上,與應用到物理端口的ACL實現方式是一樣的。而VLAN訪問控制(VACL),也稱爲VLAN訪問映射表,它的實現方式與前者完全不同。它應用於VLAN中的所有通信流,支援基於ETHERTYPE和MAC地址的過濾,可以防止未經授權的數據流進入VLAN。目前支援的VACL操作有三種:轉發(forward),丟棄(drop),重定向(redirect)。
1) 最後一條隱藏規則是deny ip any any,與ACL相同。
2) VACL沒有inbound和outbound之分,區別於ACL。
3) 若ACL列表中是permit,而VACL中爲drop,則數據流執行drop。
4) VACL規則應用在NAT之前。
5) 一個VACL可以用於多個VLAN中;但一個VLAN只能與一個VACL關聯。
6) VACL只有在VLAN的端口被激活後纔會啓用,否則狀態爲inactive。
在交換機上有兩種訪問控制列表
1.控制抵達交換機的流量的訪問控制列表
2.穿越交換機的流量的訪問控制列表
控制穿越流量的三種類型ACL
1.RACL:路由器ACL,路由器是可以支援的,控制的是三層的流量,可以在三層接口上做input/output的過濾
2.VACL:vlan間的ACL,這種ACL是路由器不能支援的,它可以做三層或者VLAN內部的控制,也就是二層/三層都可以做*
3.RACL:端口ACL,二層端口運用一個三層的訪問控制列表,可以對VLAN間或者VLAN內部做*,只能在input方向應用
VACL的特點
1.VACL能控制vlan內的流量
2.能夠對IP或者是非IP的流量進行控制
3.VACL優先RACL進行處理
4.VACL沒有方向性,進入或離開都要受控制
在思科設備上,我也試過,應用也很簡單。
在華三的設備上,幾年前我試過,沒成功,只能用以下方法,進行代替性的工作:
基於網段的限速
爲了保證辦公區對帶寬的優先使用,決定採用按VLAN分配帶寬的限速策略。由於辦公區優先級別高,它的平均帶寬應大於帶寬總平均值,所以將30M中的10M分配給VLAN 2,10M分配給VLAN 10,10M分配給VLAN 20配置如下:
定義各個vlan的上下行ACL
acl number 3001
rule 0 permit ip source 192.168.0.0 255.255.255.0
acl number 3002
rule 0 permit ip destination 192.168.0.0 255.255.255.0
acl number 3003
rule 0 permit ip source 192.168.1.0 255.255.255.0
acl number 3004
rule 0 permit ip destination 192.168.1.0 255.255.255.0
acl number 3005
rule 0 permit ip source 192.168.2.0 255.255.255.0
acl number 3006
rule 0 permit ip destination 192.168.2.0 255.255.255.0
interface GigabitEthernet1/0/1 //在口做限速
qos car inbound acl 3001 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan2上行帶寬*爲12M
qos car inbound acl 3003 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan10上行帶寬*爲12M
qos car inbound acl 3005 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan20上行帶寬*爲12M
qos car outbound acl 3002 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan2下行帶寬*爲12M
qos car outbound acl 3004 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan10下行帶寬*爲12M
qos car outbound acl 3006 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan20下行帶寬*爲12M
interface GigabitEthernet1/0/3 //在內網口做每IP限速
qos car inbound acl 3001 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan2上行帶寬*爲2M
qos car inbound acl 3003 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan10上行帶寬*爲2M
qos car inbound acl 3005 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan20上行帶寬*爲2M
qos car outbound acl 3002 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan2下行帶寬*爲2M
qos car outbound acl 3004 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan10下行帶寬*爲2M
qos car outbound acl 3006 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan20下行帶寬*爲2M
可以透過執行display qos car interface命令檢視每條限速命令是否已生效
其他應用,需要實際應用的時候試試看了。
這是幾年前開局時用過的,現在的交換機軟件版本更新太快,這個做法,現在已經做不出來了。
現在最常用的,就是在華爲X7系列以及X3交換機上做基於IP位址的ACL:
#
sysname Quidway
#
time-range server1 09:00 to 18:00 working-day
#
acl number 3001
rule 1 deny ip destination 192.168.2.1 0 time-range server1
#
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3001 rule 1
return
剛纔找了臺機器試了下,華在X3,X7系列都支援,在WEB頁面可以配置。將ACL應用到VLAN。
請問,華爲2309系列交換機,本身可以對端口限速,可以基於VLAN限速嗎,如果可以對VLAN限速,請問配置方式
此交換機不支援acl方式限速。
型號太低。
華爲交換機可不可以基於VLAN做ACL,而不是物理端口,具體是什麼型號,新手啊,好多都不懂
S2700-EI支援豐富的ACL策略控制,特別支援基於VLAN下發ACL規則,實現VLAN內多端口的靈活控制和統一資源調度。而S3700、S5700更是三層交換機,以及爲運營商提供的S2300、S3300、5300以及S9300,當然支援基於VLAN的ACL,而華三的交換機, 二層交換機需要是EI型號,比如 S3100-26TP-EI,而SI類應該是有問題,沒有試過,華三 S3600、S5120EI,S5500,S5800,S7500及以上三層交換機也都支援基於VLAN的ACL。
在思科設備上,有VLAN ACL和VACL的區別:
我們常說的VLAN之間的訪問控制,它的實現方式是將ACL直接應用到VLAN的虛端口上,與應用到物理端口的ACL實現方式是一樣的。而VLAN訪問控制(VACL),也稱爲VLAN訪問映射表,它的實現方式與前者完全不同。它應用於VLAN中的所有通信流,支援基於ETHERTYPE和MAC地址的過濾,可以防止未經授權的數據流進入VLAN。目前支援的VACL操作有三種:轉發(forward),丟棄(drop),重定向(redirect)。
1) 最後一條隱藏規則是deny ip any any,與ACL相同。
2) VACL沒有inbound和outbound之分,區別於ACL。
3) 若ACL列表中是permit,而VACL中爲drop,則數據流執行drop。
4) VACL規則應用在NAT之前。
5) 一個VACL可以用於多個VLAN中;但一個VLAN只能與一個VACL關聯。
6) VACL只有在VLAN的端口被激活後纔會啓用,否則狀態爲inactive。
在交換機上有兩種訪問控制列表
1.控制抵達交換機的流量的訪問控制列表
2.穿越交換機的流量的訪問控制列表
控制穿越流量的三種類型ACL
1.RACL:路由器ACL,路由器是可以支援的,控制的是三層的流量,可以在三層接口上做input/output的過濾
2.VACL:vlan間的ACL,這種ACL是路由器不能支援的,它可以做三層或者VLAN內部的控制,也就是二層/三層都可以做*
3.RACL:端口ACL,二層端口運用一個三層的訪問控制列表,可以對VLAN間或者VLAN內部做*,只能在input方向應用
VACL的特點
1.VACL能控制vlan內的流量
2.能夠對IP或者是非IP的流量進行控制
3.VACL優先RACL進行處理
4.VACL沒有方向性,進入或離開都要受控制
在思科設備上,我也試過,應用也很簡單。
在華三的設備上,幾年前我試過,沒成功,只能用以下方法,進行代替性的工作:
基於網段的限速
爲了保證辦公區對帶寬的優先使用,決定採用按VLAN分配帶寬的限速策略。由於辦公區優先級別高,它的平均帶寬應大於帶寬總平均值,所以將30M中的10M分配給VLAN 2,10M分配給VLAN 10,10M分配給VLAN 20配置如下:
定義各個vlan的上下行ACL
acl number 3001
rule 0 permit ip source 192.168.0.0 255.255.255.0
acl number 3002
rule 0 permit ip destination 192.168.0.0 255.255.255.0
acl number 3003
rule 0 permit ip source 192.168.1.0 255.255.255.0
acl number 3004
rule 0 permit ip destination 192.168.1.0 255.255.255.0
acl number 3005
rule 0 permit ip source 192.168.2.0 255.255.255.0
acl number 3006
rule 0 permit ip destination 192.168.2.0 255.255.255.0
interface GigabitEthernet1/0/1 //在口做限速
qos car inbound acl 3001 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan2上行帶寬*爲12M
qos car inbound acl 3003 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan10上行帶寬*爲12M
qos car inbound acl 3005 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan20上行帶寬*爲12M
qos car outbound acl 3002 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan2下行帶寬*爲12M
qos car outbound acl 3004 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan10下行帶寬*爲12M
qos car outbound acl 3006 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan20下行帶寬*爲12M
interface GigabitEthernet1/0/3 //在內網口做每IP限速
qos car inbound acl 3001 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan2上行帶寬*爲2M
qos car inbound acl 3003 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan10上行帶寬*爲2M
qos car inbound acl 3005 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan20上行帶寬*爲2M
qos car outbound acl 3002 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan2下行帶寬*爲2M
qos car outbound acl 3004 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan10下行帶寬*爲2M
qos car outbound acl 3006 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan20下行帶寬*爲2M
可以透過執行display qos car interface命令檢視每條限速命令是否已生效
其他應用,需要實際應用的時候試試看了。
這是幾年前開局時用過的,現在的交換機軟件版本更新太快,這個做法,現在已經做不出來了。
現在最常用的,就是在華爲X7系列以及X3交換機上做基於IP位址的ACL:
#
sysname Quidway
#
time-range server1 09:00 to 18:00 working-day
#
acl number 3001
rule 1 deny ip destination 192.168.2.1 0 time-range server1
#
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3001 rule 1
return
剛纔找了臺機器試了下,華在X3,X7系列都支援,在WEB頁面可以配置。將ACL應用到VLAN。
請問,華爲2309系列交換機,本身可以對端口限速,可以基於VLAN限速嗎,如果可以對VLAN限速,請問配置方式
此交換機不支援acl方式限速。
型號太低。
華爲的三層交換機基於ip劃分了兩個vlan,交換機怎麼跟路由器相連,實現通信,求具體配置
你的是單臂路由器。需要透過配置子接口。。。
如果你的交換機是三層的話,直接在交換機上配置VLAN間互訪即可。
趣知科普吧
