华三s5500创建的vlan问题

看一下这个连接有没有帮助，包过滤实现。

华三S5500交换机上设置让VLAN10和VLAN20不互通，以便实现网络的隔离和安全。

1. 方法一：使用ACL（访问控制列表）来过滤VLAN10和VLAN20之间的数据包，只允许或拒绝指定的源地址和目的地址的通信。例如，您可以在交换机上配置如下的ACL，拒绝VLAN10的网段访问VLAN20的网段，反之亦然：


[H3C]acl number 3001
[H3C-acl-adv-3001]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[H3C-acl-adv-3001]rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[H3C-acl-adv-3001]rule permit ip
[H3C-acl-adv-3001]quit
[H3C]interface Vlan-interface 10
[H3C-Vlan-interface10]packet-filter 3001 outbound
[H3C-Vlan-interface10]quit
[H3C]interface Vlan-interface 20
[H3C-Vlan-interface20]packet-filter 3001 outbound
[H3C-Vlan-interface20]quit


2. 方法二：使用VLAN映射来修改VLAN10和VLAN20之间的数据包的VLAN标识，使得它们无法匹配对方的VLAN接口，从而实现VLAN的隔离。例如，您可以在交换机上配置如下的VLAN映射，将VLAN10的数据包的VLAN标识修改为100，将VLAN20的数据包的VLAN标识修改为200：


[H3C]vlan 100
[H3C-vlan100]quit
[H3C]vlan 200
[H3C-vlan200]quit
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-type trunk
[H3C-GigabitEthernet1/0/1]port trunk permit vlan 10 20
[H3C-GigabitEthernet1/0/1]port trunk vlan-translation enable
[H3C-GigabitEthernet1/0/1]port trunk vlan-translation vlan 10 to 100
[H3C-GigabitEthernet1/0/1]port trunk vlan-translation vlan 20 to 200
[H3C-GigabitEthernet1/0/1]quit


3. 方法三：使用VRF（虚拟路由转发）来将VLAN10和VLAN20划分为不同的路由域，使得它们无法共享路由表和转发表，从而实现VLAN的隔离³。例如，您可以在交换机上配置如下的VRF，将VLAN10的VLAN接口划分为VRF10，将VLAN20的VLAN接口划分为VRF20：


[H3C]ip vpn-instance VRF10
[H3C-ip-vpn-instance-VRF10]route-distinguisher 10:10
[H3C-ip-vpn-instance-VRF10]quit
[H3C]ip vpn-instance VRF20
[H3C-ip-vpn-instance-VRF20]route-distinguisher 20:20
[H3C-ip-vpn-instance-VRF20]quit
[H3C]interface Vlan-interface 10
[H3C-Vlan-interface10]ip binding vpn-instance VRF10
[H3C-Vlan-interface10]quit
[H3C]interface Vlan-interface 20
[H3C-Vlan-interface20]ip binding vpn-instance VRF20
[H3C-Vlan-interface20]quit