同一网段互访走二层，流量不会经过核心，可以做端口隔离，更方便点

要实现“禁止访问其他电脑但允许上网”的需求，关键在于理解流量类型并选择合适的阻断点。核心思路是：对于同VLAN的二层互访，使用端口隔离；对于跨VLAN的三层互访，则使用高级ACL。

你的网络是典型的“核心-接入”二层结构，所有设备都在同一个局域网（VLAN）。这意味着电脑A访问局域网内其他设备时，流量根据目标设备的位置分为两种。

📡 流量路径分析

1. 二层流量 (本地互访)：当电脑A访问同一台交换机下的设备B时，数据包直接由该交换机在二层转发，不经过网关。

2. 三层流量 (访问网关/外网)：当电脑A访问Internet或不同交换机下的设备时，数据包才会先经过网关（核心交换机）进行三层路由转发。

💡 解决方案：按路径精准阻断

基于以上分析，直接使用三层ACL阻断“局域网网段IP”无法解决本地二层互访的问题。因此，需要在两个层面分别设置策略。

1. 🚫 阻断同交换机内的二层互访：使用端口隔离

这是阻断同VLAN内二层通信的唯一有效方法，其原理是将端口加入隔离组，组内端口相互隔离，但允许与上行口通信。

• 配置位置：在电脑A所连接的接入交换机上配置。

• 优点：配置简单，不消耗系统资源，完全阻断二层互通。

• 局限：端口隔离仅在本地交换机上生效。对于跨交换机的访问（如电脑A访问另一楼层的电脑C），需结合后续的ACL策略。

配置示例：

此方案基于IP地址进行控制，可精细化管理。配置的核心是在网关接口（通常为VLAN接口）的入方向（inbound）应用高级ACL，以在数据包进入网关前进行过滤。

• 配置位置：在核心交换机（网关设备）上配置。

• 配置步骤：

  1. 创建高级ACL并定义规则：拒绝电脑A访问目标网段（如整个内网），同时保留对网关等必要地址的访问权限。

  2. 应用到VLAN接口的入方向：在网关的VLAN接口下应用ACL。

配置示例 (H3C Comware V7/V9):

一、同一网段内两台电脑互访：走二层还是三层？

1. PC A 想访问 PC B
2. PC A 发 ARP：谁是 192.168.1.xx？
3. PC B 直接回复 MAC
4. 交换机根据 MAC 地址表 转发
5. 完全不经过 IP 路由、不经过网关、不经过核心三层

• 同一 VLAN 内互访 = 纯二层
• 不同 VLAN 互访 = 走三层（核心交换机路由）

二、你问的关键：在接入交换机端口 inbound 绑 ACL 能不能拦？

1. 在 PC A 所在的接入交换机
2. 创建 ACL 禁止 PC A 访问 整个内网网段
3. 将 ACL 应用在 PC A 所连端口的 inbound 方向

• PC A → 其他内网设备：被拦截
• PC A → 网关 / 互联网：允许
• 其他设备 → PC A：不受影响（如果你想双向拦，再加 outbound）

三、那要不要在核心上做策略？

• 同网段互访根本到不了核心
• 跨网段才会到核心
• 你现在所有设备都在同一网段、同一 VLAN

四、最标准、最稳的配置（H3C 交换机直接复制）

• 内网网段：192.168.1.0/24
• PC A 接在接入交换机 G1/0/1

• PC A 不能访问任何内网设备
• PC A 可以上网
• 其他电脑互相不影响

五、如果你想更安全：推荐做法

1. 把 PC A 划入独立 VLAN
2. 核心做三层网关
3. 核心上做 ACL 禁止访问内网，只允许上网

• 彻底二层隔离，无法 ARP 嗅探
• 策略集中在核心，好维护
• 不会因为接入交换机配置漏了而出问题

六、一句话总结

• 同网段互访 = 纯二层
• 端口 inbound ACL 能拦，有效
• 不需要核心策略
• 想彻底安全 → VLAN 隔离