S5700交换机基于VLAN的流策略配置举例

S5700交换机基于VLAN的流策略配置

某客户网络，客户希望在汇聚交换机S7700启用DHCP，并考虑隔离VLAN100和VLAN200，从而达到PC1、PC2可以互通，和PC3不能互通的目的。考虑使用流策略完成不同VLAN的相互隔离。

根据客户需求在汇聚交换机S7703上开启DHCP，创建VLAN100和VLAN200，并设定接口IP地址分别为192.168.1.254/24和192.168.2.254/24；接入交换机S3700-1和S3700-2创建VLAN100，接入交换机S3700-3创建VLAN200。

[S7700]dhcp enable

[S7700]vlan batch 100 200

[S7700]interface Vlanif 100

[S7700-Vlanif100]ip address 192.168.1.254 24

[S7700]interface Vlanif 200

[S7700-Vlanif200]ip address 192.168.2.254 24

[S3700-1]vlan 100

[S3700-2]vlan 100

[S3700-3]vlan 200

配置汇聚交换机S7700的下行端口G2/0/1、G2/0/2和G2/0/3为trunk接口，对应接入交换机S3700接口G0/0/1端口为trunk接口，并将S3700接入交换机的下行端口配置为access接口，保证二层互通。

汇聚交换机S7700：

[S7700-GigabitEthernet2/0/1]port link-type trunk

[S7700-GigabitEthernet2/0/1]port trunk allow-pass vlan 100

[S7700-GigabitEthernet2/0/2]port link-type trunk

[S7700-GigabitEthernet2/0/2]port trunk allow-pass vlan 100

[S7700-GigabitEthernet2/0/3]port link-type trunk

[S7700-GigabitEthernet2/0/3]port trunk allow-pass vlan 200

接入交换机S3700：

[S3700]interface GigabitEthernet 0/0/1

[S3700-GigabitEthernet0/0/1]port link-type trunk

[S3700]interface Ethernet 0/0/1

[S3700-Ethernet0/0/1]port link-type access

[S3700-Ethernet0/0/1]port default vlan 100

分别在两个vlanif接口下开启接口DHCP，下面的终端可以获取到IP地址，得到的结果是，这两个接口下的终端是可以互通的。

[S7700]int vlan 100

[S7700-Vlanif100]dhcp select interface

[S7700]int vlan 200

[S7700-Vlanif200]dhcp select global

可以看到PC1、PC2和PC3分别获得到地址,验证互通性，可以发现PC1和PC2、PC3都是互通，然而，通常我们希望不同VLAN下的终端是不能互通的

其它配置依此变通：

禁止vlan 48被vlan 30 ,vlan40访问

Vlan 48的网关地址是：192.168.48.1/24

Vlan 30的网关地址是：192.168.30.1/24

Vlan 40的网关地址是：192.168.40.1/24

如下配置：

[Huawei]acl 3000                                   配置acl 3000

[Huawei-acl-adv-3000]rule 10 deny ip destination 192.168.40.0 0.0.0.255

[Huawei-acl-adv-3000]rule 20 deny ip destination 192.168.30.0 0.0.0.255

[Huawei-acl-adv-3000]rule 30 permit ip

[Huawei-acl-adv-3000]di this

#

acl number 3000

 rule 10 deny ip destination 192.168.40.0 0.0.0.255

 rule 20 deny ip destination 192.168.30.0 0.0.0.255

#

return

[Huawei-acl-adv-3000]quit  

[Huawei]traffic classifier cl1 配置流量过滤器

[Huawei-classifier-cl1]if-match acl 3000

[Huawei-classifier-cl1]quit

[Huawei]traffic behavior be1 配置流行为操作

[Huawei-behavior-be1]permit

[Huawei-behavior-be1]quit

[Huawei]traf 

[Huawei]traffic po  

[Huawei]traffic policy po1                      将过滤器与行为器组成流量策略

[Huawei-trafficpolicy-po1]classifier cl1 behavior be1

[Huawei-trafficpolicy-po1]quit

[Huawei]vlan 48                                     将策略应用到vlan的入方向

[Huawei-vlan48]traffic-policy po1 ?

  inbound   Assign policy to the inbound of an interface

outbound  Assign policy to the outbound of an interface

[Huawei-vlan48]traffic-policy po1 inbound

[Huawei-vlan48]quit

源自:https://forum.huawei.com/enterprise/zh/huawei/m/ViewThread.html?tid=336379&lang=zh&container=browser&navBar=1&isOpenAttach=1