问
阻止二层网络下终端互访如何实现
2026-06-18提问
- 0关注
- 0收藏,152浏览
问题描述:
背景: 用户需要4个楼层配置同一个网段,楼层部署接入交换机, 上联线路都拉到核心机房 核心交换机S7006X 上, 终端网关IP 配置在核心交换机上, 终端地址通过DHCP 方式获取
需求: 需要实现4个楼层之间禁止互访,同楼层之间可以互访。
我打算配置二层 ACL 来实现,想问下还有其他更好的办法吗?
组网及组网描述:
接入交换机:华三S5120V3
核心交换机:华三 S7006X 配置了IRF 虚拟化,因此核心 交换机上配置不了端口隔离
- 2026-06-18提问
- 举报
-
(0)
最佳答案
方案总览(适配你的组网:同网段、网关在核心 IRF、接入 S5120V3、核心无法端口隔离)
最优方案排序(推荐度从高到低)
- 接入交换机端口隔离(首选,性能最优,不占用核心资源)
- 核心 ACL 三层拦截(你原本计划,次选)
- 核心 VLAN 分组 + PVLAN(私有 VLAN,适合终端量大场景)
- 接入基于 MAC 的二层 ACL 兜底
方案 1:接入交换机 S5120V3 端口隔离(强烈推荐)
适配你的场景优势
- 隔离动作在接入侧完成,跨楼层流量不会上送到核心,节省核心 IRF 转发资源;
- 同楼层同隔离组内终端互通,不同隔离组 / 不同楼层完全隔离,完美匹配需求;
- 核心 IRF 不支持端口隔离完全不影响,隔离逻辑下沉到每台接入交换机。
原理
每台接入交换机创建隔离组,同一楼层所有用户端口加入隔离组,上联核心的 Trunk 口配置为隔离组上行口(promiscuous 混杂口):
- 同楼层终端:隔离组内互通;
- 本楼层终端 ↔ 其他楼层终端:跨交换机流量上核心后,无回程转发,直接阻断;
- 所有终端均可正常访问网关(核心三层接口)、服务器、外网。
S5120V3 完整配置示例(单楼层接入交换机)
bash
运行
# 1. 全局开启端口隔离
port-isolate enable group 1
# 2. 楼层所有用户接入口加入隔离组1
interface GigabitEthernet 1/0/1 to GigabitEthernet 1/0/24
port-isolate group 1
# 3. 上联核心的Trunk口设为混杂口(允许所有终端访问网关/跨核心业务)
interface GigabitEthernet 1/0/25
port-isolate promiscuous group 1
port link-type trunk
port trunk permit vlan 10 # 你的业务VLAN
4 台楼层交换机区分隔离逻辑
每台接入交换机独立配置隔离组,不同交换机的隔离组互不连通:
- 1 楼接入:用户口隔离组 1,上联混杂口
- 2 楼接入:用户口隔离组 1,上联混杂口 跨楼层终端流量虽然能发到核心,但回程流量到达另一台接入交换机时,端口隔离直接拒绝转发,实现楼层互访阻断。
验证命令
bash
运行
display port-isolate group 1
display port-isolate interface GigabitEthernet 1/0/1
方案 2:核心 S7006X IRF 三层 ACL 拦截(你原本计划,次选)
适用场景
不方便修改接入交换机配置、终端数量少;缺点:所有跨楼层流量全部上送核心处理,占用核心 CPU / 转发资源。
实现思路
4 个楼层通过接入交换机上联端口区分,在核心 IRF 的 VLANIF 三层接口配置 ACL,根据入接口区分楼层,拒绝跨楼层互访,允许同楼层、允许访问网关。
假设:
- 业务 VLAN:Vlan 10,网段 192.168.10.0/24
- 1 楼上联核心接口:G1/0/1
- 2 楼上联核心接口:G1/0/2
- 3 楼上联核心接口:G1/0/3
- 4 楼上联核心接口:G1/0/4
配置示例
bash
运行
# 1. 创建ACL,禁止跨楼层互访
acl number 3000
# 1楼访问2/3/4楼网段阻断
rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
# 放行终端访问网关
rule permit ip destination 192.168.10.1 0
rule permit ip source 192.168.10.0 0.0.0.255 destination any
# 2. 在每个楼层上联接口入方向应用ACL
interface GigabitEthernet 1/0/1
packet-filter 3000 inbound
interface GigabitEthernet 1/0/2
packet-filter 3000 inbound
interface GigabitEthernet 1/0/3
packet-filter 3000 inbound
interface GigabitEthernet 1/0/4
packet-filter 3000 inbound
缺陷说明
- 所有跨楼层流量必须上送到核心三层才能拦截,产生无效流量;
- 终端量大时 ACL 规则匹配消耗核心芯片资源;
- 同楼层终端流量也要经过核心转发,效率低于接入端口隔离。
方案 3:核心 PVLAN 私有 VLAN(适合终端超 200 台大型场景)
原理
业务 VLAN 拆分为 1 个主 VLAN + 4 个辅助隔离 VLAN(对应 4 个楼层):
- 主 VLAN:三层网关接口,所有终端访问网关 / 服务器走主 VLAN;
- 每楼层分配独立 Secondary 隔离 VLAN,同 VLAN 内互通,不同 Secondary VLAN 完全隔离;
局限
- 需要调整所有接入交换机端口 VLAN 配置,分层划分子 VLAN;
- DHCP 服务器需要跨 VLAN 中继,改造工作量大;
- 你的需求 4 个楼层,改造成本高于端口隔离,不推荐优先使用。
方案 4:接入二层 MAC ACL(兜底方案,极少用)
在接入交换机配置二层 ACL,根据源 MAC / 目的 MAC 拦截跨楼层流量,缺点:
- MAC 地址量大时规则爆炸,维护困难;
- 终端更换后需要同步更新 ACL,适合固定终端场景。
最终选型建议
- 最优方案:接入 S5120V3 配置端口隔离
- 流量在接入侧阻断,不占用核心资源;
- 改造仅需在 4 台接入交换机增加少量配置,无需改动核心 IRF;
- 完美满足:同楼层互通、跨楼层隔离、全部终端访问网关正常。
- 仅当无法登录接入交换机操作时,再使用核心三层 ACL方案。
补充关键注意点
- 端口隔离仅隔离同一隔离组内用户口,上联混杂口不受隔离限制,终端访问网关 / 服务器完全不受影响;
- IRF 核心无法全局端口隔离不影响,隔离逻辑下沉接入,互不冲突;
- DHCP 报文、网关访问、跨网段业务服务器流量全部放行,仅拦截终端之间跨楼层互访。
- 2026-06-18回答
- 评论(0)
- 举报
-
(0)
zhiliao_Gixe
六段
可以通过以下方式实现二层网络下楼层间终端隔离,同楼层互通:
方案一:端口隔离(推荐)
1. 接入交换机配置端口隔离
接入交换机(S5120V3)每个楼层的端口加入同一隔离组:
[接入交换机] port-isolate group 1
[接入交换机-GigabitEthernet0/0/1] port-isolate enable group 1
[接入交换机-GigabitEthernet0/0/2] port-isolate enable group 1
同组端口默认隔离,不同组或跨楼层端口可互通。
方案二:DHCP Option 82 + VLAN + ACL
1. VLAN划分
每个楼层VLAN独立(如VLAN10~VLAN40),接入交换机端口配置Access VLAN。
2. DHCP Option 82
核心交换机DHCP服务器下发Option 82,携带接入交换机端口信息,确保终端归属正确VLAN。
3. ACL策略
核心交换机配置ACL拒绝不同VLAN间二层通信:
[核心] acl 2000
[核心-acl-basic-2000] rule deny ip source any destination any
[核心-acl-basic-2000] rule permit ip source any destination any
[核心] interface Vlan-interface10
[核心-Vlan-interface10] traffic-filter inbound acl 2000
方案三:DHCP+MAC地址绑定+广播域隔离
1. DHCP+MAC绑定
核心交换机为每个终端分配固定MAC地址,确保同楼层终端MAC唯一。
2. 广播域隔离
接入交换机通过端口隔离或DHCP Option 82限制广播域,避免跨楼层ARP欺骗。
对比推荐
端口隔离:最简单,接入层独立配置,适合中小规模。
VLAN+ACL:扩展性强,支持三层路由,适合复杂网络。
方案二:优先推荐,通过VLAN隔离广播域,ACL控制跨VLAN访问,满足同楼层互通需求。
补充说明:若核心交换机IRF无法配置端口隔离,接入层端口隔离是最直接的替代方案,无需依赖核心交换机。
方案一:端口隔离(推荐)
1. 接入交换机配置端口隔离
接入交换机(S5120V3)每个楼层的端口加入同一隔离组:
[接入交换机] port-isolate group 1
[接入交换机-GigabitEthernet0/0/1] port-isolate enable group 1
[接入交换机-GigabitEthernet0/0/2] port-isolate enable group 1
同组端口默认隔离,不同组或跨楼层端口可互通。
方案二:DHCP Option 82 + VLAN + ACL
1. VLAN划分
每个楼层VLAN独立(如VLAN10~VLAN40),接入交换机端口配置Access VLAN。
2. DHCP Option 82
核心交换机DHCP服务器下发Option 82,携带接入交换机端口信息,确保终端归属正确VLAN。
3. ACL策略
核心交换机配置ACL拒绝不同VLAN间二层通信:
[核心] acl 2000
[核心-acl-basic-2000] rule deny ip source any destination any
[核心-acl-basic-2000] rule permit ip source any destination any
[核心] interface Vlan-interface10
[核心-Vlan-interface10] traffic-filter inbound acl 2000
方案三:DHCP+MAC地址绑定+广播域隔离
1. DHCP+MAC绑定
核心交换机为每个终端分配固定MAC地址,确保同楼层终端MAC唯一。
2. 广播域隔离
接入交换机通过端口隔离或DHCP Option 82限制广播域,避免跨楼层ARP欺骗。
对比推荐
端口隔离:最简单,接入层独立配置,适合中小规模。
VLAN+ACL:扩展性强,支持三层路由,适合复杂网络。
方案二:优先推荐,通过VLAN隔离广播域,ACL控制跨VLAN访问,满足同楼层互通需求。
补充说明:若核心交换机IRF无法配置端口隔离,接入层端口隔离是最直接的替代方案,无需依赖核心交换机。
- 2026-06-18回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论