三层交换机实现多网段（VLAN）互通和某些网段限制通信

需求一：实现一个交换机多个不同的网段（VLAN）可以互相通信。

例如：三个网段**192.168.10. – 192.168.11. – 192.168.12.-- ** 实现3个网段互通。

第一步：设置三个VLAN
#进入交换机配置界面
system-view # 简写 sys
#设置VLAN 10
vlan 10
quit
#设置VLAN 11
vlan 11
quit # 简写 qu
#设置VLAN 12
vlan 12
quit

第二步：设置三个虚拟接口
#VLAN10的虚拟接口
interface vlan 10
quit
#VLAN11的虚拟接口
interface vlan 11
quit
#VLAN12的虚拟接口
interface vlan 12
quit

第三步：端口绑定VLAN
#端口gigabitethernet 1/0/1
#进入端口配置
interface gigabitethernet 1/0/1
#添加vlan
port access vlan 11
#退出
quit

#端口gigabitethernet 1/0/2
interface gigabitethernet 1/0/2
port access vlan 12
quit

端口gigabitethernet 1/0/3
interface gigabitethernet 1/0/3
port access vlan 13

此时所有网段可以互相PIng 通。

需求二：限制某些网段（VLAN）之间不能通信。

例如：要让11段和12段不能互相通信。

第一种：ACL 添加访问限制列表到VLAN接口中。
#创建acl
acl advanced 3000
#编辑访问禁止条例
rule 1 deny ip source 192.168.12.0 0.0.0.255

#进入接口 vlan11
sys
Interface vlan 11
#简写 inter vl 11
#配置ACL给VLAN11接口
[H3C-Vlan-interface11] packet-filter 3011 outbound
[H3C-Vlan-interface11] quit

此时，11和12不能通讯，但是12可以ping通11的网关。

如果不想让网关通过，下面这种，创建一个禁止11段到12段的通讯，添加到11段和12段。
1.编辑一个ACL
#创建acl
acl advanced 3011
#编辑条例
rule 1 deny ip source 192.168.11.0 0.0.0.255 destination
192.168.12.0 0.0.0.255
#扩展
rule 1 permit ip source 192.168.12.0 0.0.0.255 # permit 允许
rule 1 deny ip source 192.168.12.0 0.0.0.255 # deny 禁止所有来自12段的
rule 1 deny ip source any #拒绝所有
rule 1 permit ip source any #允许所有
#退出acl
quit
#查看所有acl
display acl all
2.VLAN 接口启用ACL
#进入接口vlan11
sys
Interface vlan 11 // inter vl 11
#配置ACL给VLAN11接口
[H3C-Vlan-interface12] packet-filter 3011 inbound
[H3C-Vlan-interface12] quit
#进入接口 vlan12
sys
Interface vlan 12 // inter vl 12
#配置ACL给VLAN12接口
[H3C-Vlan-interface11] packet-filter 3011 outbound
[H3C-Vlan-interface11] quit

此时 11段和12段不能ping通，包括网关也不通。
还有一种是端口隔离的办法，模拟器上无法实现，正式用上在测试。