问题描述:
首先说一下我们公司的网络拓扑,外网连接到tp-link402m路由器,路由器连接到华为s3600-28tp-si交换机,华为交换机有11个端口连接了公司的11个不同的部门,交换机上还有一个端口连接了一台crm服务器。
然后公司有一台48口交换机,交换机上连接了7个不同的部门和一台erp服务器。我先问一个很菜的问题,是不是交换机上每一个端口都有一个ip地址,还是这个ip地址是网管自己手动配置的吗,
我最终想达到的是:从连接erp服务器上的交换机引一跟线出来连接到s3600华为交换机上,假设这根线连接到华为交换机的这个端口是1端口,华为s3600交换机上crm服务器的端口是2端口,从路由器wan口上连接到华为s3600交换机上端口是3端口,现在要让端口1能与端口2相互通信,端口1不能连接到internet,华为s3600交换机上其他端口不能与端口1通信
我自己想通过这样做来达到(假设端口3的ip地址为1.1.1.1.1)
配置一个ACL 2000,禁止源地址为1.1.1.1的报文通过。
照葫芦画瓢,又配置一个ACL 2001 ,这样一直下去,除了crm服务器的端口2不禁止外。
问题解答:
sorry,我不会H3C的命令集,只会cisco
不过
希望我说的对你有所帮助
如果按照你的要求,可以在这些不连接外网的vlan的交换机不封装trunk(封装帧,不知道H3C的叫法)
如果1台交换机上设计多个vlan,并不让其某些vlan访问外网,可以在连接处的NAT不转那些地址。
或者,用ACL把协议阻隔掉(这种方法是最常用的,因为不用动大局)
交换原理都是一样的
回复,
大多情况交换机E口不要IP地址,因为他们是二层口,需要配IP的时候,把端口改为三层口,由人来设置IP。
上海旅游网