H3Cs5500三层交换机配置基于端口的acl问题,急急急!!!!
S3100也划分10个vlan,端口分别加入了不同vlan中,S3100下面连接PC (是否也需要配vlan ip ?)都可以,可以配置一个vlan1的ip地址做为S31的管理地址。
S31和S55直接连接的端口需要做trunk接口,两边接口都使用这个命令
port link-type trunk
port trunk permit vlan all
交换机到路由器的路由怎样配 ?
s55上一条默认路由
ip rou 0.0.0.0 0.0.0.0 192.168.1.1
路由器到交换机路由怎样配?
路由器是web页面的,目的网段192.168.0.0 目的掩码255.255.0.0 下一跳192.168.1.254
如何实现全网互通 ?
完成如上操作,全网就已经通了。
如何禁止个别vlan互访,比如vlan10只允许跟vlan20、vlan30通信,而拒绝其他vlan
而vlan30只允许跟vlan40通信,拒绝其他vlan
这个比较麻烦了,在这里就不写了,命令挺多,可以参照操作手册。
如何实现DHCP为各vlan分配IP地址 ?(这点可以不做)
这个要看S55是否是EI的,是的话就支持dhcp server 不是就不支持了。
前提是所有vlan 都能访问外网。
访问外网最后需要在路由器上开通192.168所以网段的上网规则就可以。
ACL可以这样写:
acl number 3000
rule 5 permit ip source 192.168.33.0 0.0.0.255 destination 192.168.142.106 0
rule 10 deny ip source 192.168.33.0 0.0.0.255 destination 192.168.142.0 0.0.0.255
rule 15 permit ip
然后在vlan下启用ACL:
interface vlan 33(192.168.33.0/24所在的vlan接口,在vlan 接口下,启用上面定义的规则)
packet-filter inbound ip-group 3000
acl 3001
rule 0 permit tcp destination server1-ip destination-port eq 3000
rule 1 permit tcp destination server2-ip destination-port eq 3001
rule 2 deny tcp
注:tcp或者udp,以服务器上端口为准,检查命令:netstat
进入G0/0接口
packet-filter 3001 inbound
淡迹赛夫: 添加一个acl acl 3001 rule 0 permit tcp destination server1-ip destination-port eq 3000 rule 1 permit tcp destination server2-ip destination-port eq 3001 rule 2 deny tcp 注:tcp或者udp,以服务器上端口为准,检查命令:netstat 进入G0/0接口 packet-filter 3001 inbound
安达市13258628719: 万兆网卡跟万兆交换机如何实现万兆速度 万兆网卡82599芯片H3C S5500 - 28C - PWR - EI 24口千兆三层交换机?
淡迹赛夫: H3C的这个型号是支持万兆,但是需要配一块10G的接口扩展卡,在配一个SFP+的10GE光模块,才可以达到万兆.暂时H3C交换机没有万兆的电接口插口.所以只能使用光纤连接. 扩充这个板卡和SFP模块的费用挺贵的..
安达市13258628719: H3C三层交换机基本配置指南?? - ?
淡迹赛夫: system-view # 创建VLAN100 [SwitchA] vlan 100 ,分配Ethernet 1/0/1给vlan100 [SwitchA-vlan100] description vlan_100 [SwitchA-vlan100] port Ethernet 1/0/1 [SwitchA-vlan100] quit # 创建VLAN200 [SwitchA] vlan 200 ,分配Ethernet 1/0/2给vlan...
安达市13258628719: H3C S5500三层交换机的DHCP静态IP配置,或者叫MAC地址绑定 - ?
淡迹赛夫: 按照你的描述,是IP地址和端口绑定了,既然涉及到端口,那么一定要在接入交换机上去做
安达市13258628719: H3C 5500 交换机 怎么配置IP地址?
淡迹赛夫:1:什么都不配,当二层用,肯定能访问. 2:配置VLAN和虚IP,同一个交换机内的PC也可以互相访问(PC网关要指自己所在VLAN的虚IP).如果有其他三层交换机需要做路由. 3:不太熟悉H3C交换机的命令
安达市13258628719: 交换机H3C5500和7503,两台交换机上分别一个网段互通应该怎么配置 - ?
淡迹赛夫: 给别的问题写的.跟你这个差不多 假如A为三层交换机1配置如下.以华为和H3C命令为例,物理接口表示形式跟实际而定.vlan 100 port e1/0/24 设置vlan100并分配端口24,注意此端口是连接三层交换机2的端口.int vlan 100 设置vlan100的ip...
安达市13258628719: h3c交换机端口聚合,cisco交换机端口聚合口怎么配置 - ?
淡迹赛夫: 配置命令参考(聚合端口为三层接口,直接配置IP地址):switch#conftswitch(config)#intport-channel1进逻辑通道1switch(config-if)#noswitchport定义为三层接口(默认是二层口)switch(config-if)#ipaddress1.1.1.1255.0.0.0添加
安达市13258628719: H3C三层交换机如何配置 - ?
淡迹赛夫: 在三层交换机上启用路由功能,想做出你说的访问功能就用通过策略来实现了.写一条策略应用到VLAN1下面.禁止VLAN2访问VLAN1,rule 1 deny source 2.2.2.0 0.0.0.255 架设这个地址段是VLAN2的,然后在vlan1下面应用为in的流量命令为 ...
安达市13258628719: H3C交换机配置IP段 - ?
淡迹赛夫: 楼上的说得并不完整. 1, 楼主的需求并没有说清楚. 原来的这个网段是否要上互联网, 新增加的这个网段要不要上互联网? 2, 这个h3c的交换机是二层的还是三层的? 如果是三层交换机, 可以直接在交换机配置一个vlan. 华三的三层vlan之间,默认之间就是互通的. 如果不需要上网,这就结束了. 要需要上网,还需要再增加一个vlan, 作为与上层nat设备互联用. 3, 如果这个交换机是二层的. 就需要在nat设备(可以是路由器或者防火墙)上划分子接口, 这就是传统意义上的单臂路由方式.
安达市13258628719: 三层交换机划分vlan配置并和路由器相连 请说配置的作用 - ?
淡迹赛夫: 三层交换机与路由器连接方式有3种: 把三层交换机的接口设置为三层接口,并且配置接口IP地址,这时该接口就是一个路由器接口,可以直接在路由器接口上配置同网段的IP地址进行通信; 把三层交换机的接口划分到VLAN 1 中(不需要配置,默认就是VLAN 1),并且配置VLAN 1的IP地址,并且把与该交换机连接的路由器接口设置同网段的IP地址即可; 把三层交换机当二层交换机使用,连接路由器的接口设置为Trunk模式,路由器使用子接口方式划分到不同的VLAN,并进行相应VLAN的IP及封装配置即可,这种方式就是独臂路由器模式.
