Question

关于不同h3c二层交换机之间同vlan内的ip隔离

现在公司有一台服务器，要求特定ip访问，非特定ip都不能访问该服务器（包括同vlan内的ip），现在我已在三层核心交换机上用ACL将别的vlan隔离了，但无法将同vlan内的ip隔离，有人告诉我说用端口隔离，但vlan是启在三层，二层配置了哪些端口允许哪些vlan通过，公司有很多二层交换机，每个二层交换机上的每个端口vlan都是配好的access口，有不同二层配有相同vlan的口，二层连三层核心交换的都是trunk口，怎么做隔离呢？二层做隔离，到三层又通了啊

Answer 1

对于一个特定的ip做策略，也可以引申为对一个特定的端口做策略，对吧
我推荐你用PACL，这是一种在端口层面上实现流量过滤的ACL，可以应用在二层交换端口，Trunk端口或EtherChannel端口上，虽然PACL运行在二层端口层面上，但是它可以根据第3、4层信息进行过滤。
我是学生，在学CCNP，没有实际经验，昨天闲着没事儿翻教程瞄了几眼MLS支持的ACL，今天看到你的需求瞬间就想到PACL了，上面关于PACL的定义就是CCNP switching一书原话
希望可以帮助到你，未来的同行～～

追问

主要需要具体配置命令，还是很感谢你的回答！pacl如果我没搞错的话，应该是基于端口的acl，我今天试了，貌似不行

追答

能提供一下关于这个问题的ip，vlan和局部拓扑吗，这样比较好琢磨
具体的做法就是在服务器直连的二层交换机上写一个ACL，你可以选择permit/deny IP数据流，然后把这个ACL应用到服务器连接的端口上执行命令ip access-group XX in，pacl只能应用到in方向
这样就可以啦，因为你在MLS上已经过滤了不同vlan的流量，所以这里的ACL只用写同vlan的ip
具体的工作量就要看需求和当前ip地址的规划了
你可以把不允许访问的主机的ip规划到一块，例如不允许访问的ip地址为192.168.0.1-192.168.0.127，就可以两条ACL搞定：
ip acc XX deny 192.168.0.0 0.0.0.127
ip acc XX per any
或者N条：ip acc XX deny host X.X.X.X

追问

拓扑大概就是这样，就是不让服务器同vlan段内的访问服务器，同vlan段的设备有在同一个二层交换上的，有不在同一个二层交换上的

追答

就在服务器所在的二层交换机上做acl
access-list 100 deny ip host 10.156.127.9 host 10.156.127.10
access-list 100 permit any any
然后应用到连接服务器的二层交换机端口上ip access-group 100 in
这样即使是同一vlan也不能访问服务器了

Answer 2

华为认证HCIA数通Datacom,实战讲解不同VLAN通信的三种解决方案