华为 S5700 三层交换 VLAN 互通与 ACL 隔离实战笔记
华为 S5700 三层交换机:多网段互通与 ACL 精准访问控制实战
- 📝 华为 S5700 三层交换 VLAN 互通与 ACL 隔离实战笔记
- 1. 物理接线与 IP 规划
- 2. 2. 核心交换机配置 (SW1) —— 负责三层路由与策略
- 3. 接入交换机配置 (SW2) —— 负责二层透传
- 4. 必看检查点 (防坑指南)
- 5. 总结与注意事项
📝 华为 S5700 三层交换 VLAN 互通与 ACL 隔离实战笔记
1. 物理接线与 IP 规划
级联链路:SW1 (G0/0/1) <口 — 线 — 口> SW2 (G0/0/1)
接入终端:
- PC1 (接 SW2-G0/0/2): IP 192.168.10.11,网关 192.168.10.254 (VLAN 10)
- PC2 (接 SW2-G0/0/3): IP 192.168.20.11,网关 192.168.20.254 (VLAN 20)
- PC3 (接 SW2-G0/0/4): IP 192.168.30.11,网关 192.168.30.254 (VLAN 30)
2. 2. 核心交换机配置 (SW1) —— 负责三层路由与策略
- VLANIF 接口:作为 PC 的三层网关,实现跨 VLAN 路由。
- Trunk 链路:在交换机之间透传多个 VLAN 标签。
- 高级 ACL (3000-3999):基于源 IP 和目的 IP 进行五元组精准过滤。
3. 接入交换机配置 (SW2) —— 负责二层透传
- 核心交换机 (SW1 - 三层网关层)
SW1 负责路由转发与 ACL 策略执行。 - 接入交换机 (SW2 - 二层接入层)
SW2 负责终端接入与 VLAN 打标。
4. 必看检查点 (防坑指南)
- 保存命令:配置完务必输入 save 并按 Y,不然重启直接白干。
- Ping 不通先查 PC:
检查 PC 掩码是否为 255.255.255.0。
必须关闭 PC 防火墙,否则即便交换机通了,PC 也会拦截 Ping 包。
- ACL 生效检查:
输入 display acl 3000。
如果 rule 5 后的 match-statistics 计数在增加,说明拦截成功。
- .端口检查:
输入 display port vlan。
确认 G0/0/1 是 Trunk 且 Allow Pass 列表里有 10, 20, 30。
5. 总结与注意事项
Trunk 允许列表:级联口务必 allow-pass 所有相关 VLAN,否则流量无法到达网关。
方向选择:traffic-filter 通常建议应用在靠近源端的 inbound 方向,以节省交换机的查表开销。
防火墙检查:若实验中 Ping 不通,请优先确认 PC 终端的 Windows 防火墙是否已关闭。
网络架构:
SW1详细配置:
# 创建 VLAN并配置ACL规则--SW1[SW1]vlan batch 10 20 30# 配置级联 SW2 的接口(假设是 GE0/0/1)[SW1]interface GigabitEthernet 0/0/1[SW1-GigabitEthernet0/0/1]port link-typetrunk[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30# 配置 VLANIF 接口(三层网关)[SW1]interface Vlanif 10[SW1-Vlanif10]ip address 192.168.10.254 24[SW1]interface Vlanif 20[SW1-Vlanif20]ip address 192.168.20.254 24[SW1]interface Vlanif 30[SW1-Vlanif30]ip address 192.168.30.254 24#配置 ACL 规则[SW1]acl 3000# 规则 5:禁止源 192.168.10.254 访问 目的 192.168.30.254[SW1-acl-adv-3000]rule 5 deny ip source 192.168.10.254 0 destination 192.168.30.254 0# 规则 10:允许其他所有流量(华为 ACL 末尾默认隐含 permit,但为了清晰建议加上)[SW1-acl-adv-3000]rule 10 permit ip[SW1-acl-adv-3000]quit#应用 ACL 规则[SW1]interface GigabitEthernet 0/0/1[SW1-GigabitEthernet0/0/1]traffic-filterinbound acl 3000SW2详细配置:
# 创建 VLAN--SW2[SW2]vlan batch 10 20 30# 配置连接 PC 的接口(以 GE0/0/1-4 为例)[SW2]interface GigabitEthernet 0/0/2[SW2-GigabitEthernet0/0/1]port link-typeaccess[SW2-GigabitEthernet0/0/1]port default vlan 10[SW2]interface GigabitEthernet 0/0/3[SW2-GigabitEthernet0/0/2]port link-typeaccess[SW2-GigabitEthernet0/0/2]port default vlan 20[SW2]interface GigabitEthernet 0/0/4[SW2-GigabitEthernet0/0/3]port link-typeaccess[SW2-GigabitEthernet0/0/3]port default vlan 30# 配置级联 SW1 的接口(假设是 GE0/0/1)[SW2]interface GigabitEthernet 0/0/1[SW2-GigabitEthernet0/0/24]port link-typetrunk[SW2-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20 30