三层交换机划vlan
- 0关注
- 0收藏,155浏览
网关在上级公司,我无法控制,说白了我就是一个二层局域网,都不用写路由
那你就没法实现不让互访,一般都在网关设备上去做ACL实现
那你就没法实现不让互访,一般都在网关设备上去做ACL实现
要实现VLAN间的隔离,主要有以下几种方法。其中 ACL(访问控制列表)是核心手段。
方案一:在三层交换机上使用ACL(推荐)
这是最常见、最高效的方法。在交换机上配置高级ACL,通过设置明确的拒绝规则来阻断VLAN间的互访流量,并保留访问外网的流量。
优势:直接在源头阻断,效率高,不占用防火墙性能。
实施路径:
创建ACL规则:定义一个高级ACL(如
acl advanced 3000),规则的核心是deny ip source [源网段] destination [目标网段]。应用到VLAN接口:将创建好的ACL规则在相应VLAN的
VLANIF接口的入方向进行应用。
方案二:在防火墙上配置安全策略
这个方案的核心思路是:把交换机当二层用,让防火墙成为所有流量的关口。
实施路径:
将三层交换机降级为二层交换机,关闭它的三层路由功能。
将所有VLAN的网关地址(
VLANIF接口的IP)都创建在防火墙上。在防火墙上,利用安全策略来精细控制不同安全域之间的访问权限。例如,默认策略是禁止所有VLAN互访,再单独添加允许VLAN访问外网的策略。
方案三:使用策略路由(PBR)或MUX VLAN
策略路由 (PBR):如果网络中有更复杂的选路需求(例如需要指定某些流量走特定线路),PBR的优先级会高于普通的包过滤ACL,可能导致ACL失效。这种情况比较特殊,如果需要用到,建议在熟悉其特性后再操作。
MUX VLAN:这是H3C交换机的一项特性,可以在一个主VLAN内划分互通型、隔离型和组播型从VLAN,实现更灵活的互通与隔离组合。如果你的隔离需求较复杂,可以考虑这种方式。
关键挑战:如何应对“终端同网段、网关固定”?
你提到的“所有终端在一个C段且网关固定”是最大的难点。VLAN划分后,终端必须更改IP地址到对应VLAN的新网段,才能被正确隔离。
这确实会牵涉到很大的改动,如果想缓解这个冲击,可以考虑以下两种方式:
通过DHCP分配新IP,逐步迁移:
在新交换机上配置好VLAN和新的IP网段。
在各VLAN下开启DHCP服务,让终端能够自动获取新规划的IP地址。
这是一种平滑的迁移方案,可以减少手动修改每台电脑配置的工作量。
使用VLAN的Secondary IP(辅助IP)作为临时过渡:
在交换机的
VLANIF接口上,除了配置新的主IP地址外,再添加一个辅助IP地址,设置为原有的C段网关。在迁移初期,已经更改IP的终端使用新网段,还未更改的终端则通过辅助IP地址继续访问网络,保证业务不中断。
待所有终端都迁移完成后,再移除这个辅助IP地址。
打开你的电脑,在浏览器输入知了社区,找到这个帖子,要么在别人下面评论,要么点我的头像。
你可以使用hybrid的端口模式,手册没有案例,你可以百度看看。
用了之后,还是没办法隔离打印机的,因为其他电脑也要访问打印机。
端口类型 | 对接收报文的处理 | 对发送报文的处理 | |
当接收到的报文不带Tag时 | 当接收到的报文带有Tag时 | ||
Access端口 | 为报文添加端口PVID的Tag | · 当报文的VLAN ID与端口的PVID相同时,接收该报文 · 当报文的VLAN ID与端口的PVID不同时,丢弃该报文 | 去掉Tag,发送该报文 |
Trunk端口 | · 当端口的PVID在端口允许通过的VLAN ID列表里时,接收该报文,给报文添加PVID的Tag · 当端口的PVID不在端口允许通过的VLAN ID列表里时,丢弃该报文 | · 当报文的VLAN ID在端口允许通过的VLAN ID列表里时,接收该报文 · 当报文的VLAN ID不在端口允许通过的VLAN ID列表里时,丢弃该报文 | · 当报文的VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文 · 当报文的VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
Hybrid端口 | 当报文的VLAN ID是端口允许通过的VLAN ID时,发送该报文,并可以配置端口在发送该VLAN的报文时是否携带Tag | ||
你这个场景完全可以实现,而且标准做法就是用 Super VLAN(SuperVLAN / 聚合 VLAN) + ACL 互访拒绝。
一句话原理:
所有 PC 还在同一个网段、同一个网关不变
物理接口划分到不同 Sub VLAN(子 VLAN)
Sub VLAN 之间二层隔离,再用 ACL 禁止三层互访
所有人都走 Super VLAN 网关上网,互不干扰
一、拓扑理解
PC 网段:192.168.1.0/24
网关:192.168.1.1(在三层交换机 Super VLAN 上)
交换机上联防火墙:192.168.100.254 → 防火墙
要求:
PC 都在 1.0/24,网关不变
不同 VLAN PC 不能互访
都能正常上网
二、完整配置(H3C 三层交换机通用)
1. 建 Sub VLAN(用户隔离用)
plaintext
vlan 10
description User_A
vlan 20
description User_B
vlan 30
description User_C
2. 建 Super VLAN(统一网关)
plaintext
vlan 100
interface Vlan-interface 100
ip address 192.168.1.1 255.255.255.0
supervlan
subvlan 10 20 30 # 把上面用户VLAN加进来
arp proxy enable # 必须开,否则同网段不通网关
quit
3. 接口划入对应 Sub VLAN
plaintext
interface GigabitEthernet1/0/1
port access vlan 10
interface GigabitEthernet1/0/2
port access vlan 10
interface GigabitEthernet1/0/10
port access vlan 20
interface GigabitEthernet1/0/20
port access vlan 30
4. 上联口(接入防火墙)
plaintext
vlan 40
interface Vlan-interface40
ip address 192.168.100.254 24
quit
interface GigabitEthernet1/0/48
port access vlan 40
5. 默认路由指向防火墙
plaintext
ip route-static 0.0.0.0 0 192.168.100.1
三、关键:禁止不同 Sub VLAN 互访(ACL)
因为 Super VLAN 默认允许三层互通,所以必须加 ACL 封杀互访。
plaintext
acl number 3000
# 禁止VLAN10 ↔ VLAN20
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
# 放通上网(去往网关、去往外网)
rule permit ip
quit
interface Vlan-interface100
packet-filter 3000 inbound
quit
效果:
同网段内任意两台 PC 互相 ping 不通、访问不了
所有人都能 ping 网关 192.168.1.1
所有人都能正常上网
四、为什么这样可行?
Sub VLAN 之间二层隔离(交换机不会转发二层帧)
Super VLAN 提供统一网关,PC 不用改任何配置
ARP 代理 让 PC 以为都在同一网段
ACL 封杀三层互访,彻底隔离
五、验证命令
plaintext
display supervlan
display arp proxy
display packet-filter
display ip routing-table
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明