Question

求H3C S5120交换机VLAN配置

我这里有个局域网，180个终端，划分为三个区域，划到同一个网段，由一台H3C S5120-28P-SI为核心交换机，S1224为子交换机。端口1，2，3，4，5，6设计作为公共端口，连接路由器，服务器这些，需要三个VLAN都可以访问；11，12，13，14为VLAN10，IP段为：192.168.1.1-192.168.1.70；17，18，19，20为VLAN20，IP段为192.168.1.71-192.168.1.140；21，22，23，24为VLAN30，IP段为192.168.1.141-192.168.1.210；三个VLAN之间不要互通，但必须能正常访问外网及服务器，也就是1-6号端口的设备。

本人对VLAN一知半解，没搞懂到底应该怎么配置。。像交换机里的TAG端口，Untagg端口，ACCESS端口，PVID等等，我看得一头雾水的。。看了半天只看明白了，公共端口必须为TRUCK端口，但一个设备只能指定一个吗？？？我需要连接六个公共设备怎么搞？？？

Answer 1

1. 首先你的需求不是很明确，180个终端，算上服务器吗？

2. 这三个区域每个区域多少终端？

3. 你说的那些端口是核心交换机上的还是子交换机上的？

4. 你想要构成何种网络接口？

5. 划分三区域又要属于同一网段，这样是无法配置的。路由模式下，每个接口不能再同一网段的。

6. 你目前划分的网段地址范围就变使用子网划分，也没符合子网的网段。

追问

1、我已经说得很明确，180是终端。
2、划三个区域，一个区域保留70个IP，最多一个区域70台，正常理解是180/3=60。我不知道您是怎么理解！！！
3、您对H3C的产品根本就不熟悉，S1224的交换机可以配置吗？？？？
4、何种网络接口？？？什么概念？？？上面已经说明白了啊。三个区不能互通，但都要能访问1-6号端口啊
5、客户机IP我采用静态IP方式，不需要使用DHCP，MAC绑定可以不做。

追答

1. 你没有说明平均分配终端，所以不确定每个区域多少人。所以要问清楚！

2. S1224确实不熟，3600 5500 7560倒是接触过

3. 第四个问题打错字了，是何种 结构。

4. 打算将一个C类划分为三块的话，可以用26位的掩码长度，可以容纳62个可用IP，但是需要一个作为网关IP，所以可用IP为61个。

5. 子网地址划分的情况：192.168.1.0/26  GW：192.168.1.62， 

   192.168.1.64/26  GW：192.168.1.126，
   192.168.1.128/24  GW：192.168.1.190
   最后还剩下：192.168.1.192/24 GW：192.168.1.254

6. 不知道你的H3C S5120-28P-SI 的系统版本，如果版本支持将端口直接作为三层口的话，那就直接配置端口1，2，3，4，5，6的IP即可。如果不能设置三层，就使用SVi接口，对应vlan 1,2,3,4,5,6.其余的三个区域使用SVI，将上边的GW IP配置到上边即可。

7. 阻止三个VLAN互访及允许访问公共端口，使用QOS及ACL进行限制。

   首先建立VLAN 10，20，30。然后建立对应的ACL和QOS，建议名称使用与vlan相关的对应名字。此处做一套例子，其余自己改。比如针对vlan10的：

vlan 10

interface vlan 10

ip add 192.168.1.62 255.255.25.0

 

acl num 3110

rule 10 permit ip source 192.168.1.0 0.0.0.63 destination source 192.168.1.0 0.0.0.63

 

traffic classifier c10 operator and
 if-match acl 3010

 

traffic behavior b10
 filter permit

 

acl number 3099 （阻止三个区域互访的策略）
 rule 100 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255

traffic classifier c_LAN-deny operator and
 if-match acl 3099

traffic behavior b_LAN-deny 写不下了！

Answer 2

首先，在三层交换机划分了两个VLAN，然后在两个不同的vlan配置在IP网络上可以实现你想要什么。

如：新VLAN100和VLAN200 [H3C] VLAN 100创建vlan100上

[H3C-VLAN100] e/1/0/1端口的接口为连接vlan100上

H3C-vlan100上归仁

[H3C] INT VLAN 100个接入VLAN 100接口模式

[H3C接口Vlan-interface100] IP的地址为200.100.100.1 255.255.255.0配置属于vlan100的IP地址，这是该段网关

[H3C] VLAN 200创建VLAN200

[H3C-vlan200的端口e/1/0/2接口2加入VLAN200

[H3C-vlan200的归仁 [H3C] INT VLAN 200进入VLAN200接口模式

[H3C-VLAN-interface200] IP地址200.100.200.1 255.255.255.0的IP配置VLAN200的地址，这是网络网关

>

然后把200.100.100.0段切换器连接到三层交换机H3C第一个口，把计算机网络网关：200.100.100.1。

200.100.200.0此分部H3C三层交换机连接到前两个端口切换，并把计算机网络的网关：200.100.200.1。

经过以上的设置，你可以交换两个分部

追问

您的这回答还是在举例。。。。我上面的需求与要求都已经提得很清楚了。。。您的回答就没在点上？？？？复制党？？？？

Answer 3

H3C好像没有tag、untag、pvid等方式的。只有trunk和access。交换机和交换机互联用trunk，接电脑的端口用access就行。

追问

谢谢！！！