求助 华为 交换机 ACL配置~

雪候鸟

各位高手，我有一台华为S3700，划分了5个VLAN，要求每个VLAN之间不能互访。
1、请问下华为交换机默认VLAN之间是通还是不通啊？
2、我写了条命令要求VLAN2 不能 访问 VLAN10，但是无效，请帮忙看下有什么问题。
rule 1 deny ip soure 10.1.2.0 0.0.0.255 destination 10.1.10.0 0.0.0.255
3、vlan 1 是全部都能访问，请问要怎么配？是不是要配置一条路由？

qq360870025

怎么调用的，把配置贴出来看下

CA-IOS

雪候鸟

终于有高手来帮忙了，先感谢下。[/b]
<S3700>dis cu
#
!Software Version V100R005C01SPC100
sysname S3700
#
vlan batch 2 4 to 7 9 to 11
#
http server load flash:/s3700_28tp-v100r005c01spc100.web.zip
#
drop illegal-mac alarm
#
time-range quantian 00:00 to 23:59 daily
#
acl number 3000
rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.10.0 0.0.0.255 time-r
ange quantian
#
vlan 2
description 2lou
vlan 5
description 5lou
vlan 6
description 6lou
vlan 7
description 7lou
vlan 10
description fuwuqi
vlan 11
description 1lou
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
local-user s3700 password cipher &05[B^%U)FGQ=^Q`MAF4<1!!
local-user s3700 service-type http
#
interface Vlanif1
description fuwuqi
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif2
description 2lou
ip address 10.1.2.1 255.255.255.0
#
interface Vlanif4
description 4lou
ip address 10.1.4.1 255.255.255.0
#
interface Vlanif5
description 5lou
ip address 10.1.5.1 255.255.255.0
#
interface Vlanif7
description 7lou
ip address 10.1.7.1 255.255.255.0
#
interface Vlanif9
description waiwang
ip address 10.1.9.1 255.255.255.0
#
interface Vlanif10
description fuwuqi
ip address 10.1.10.1 255.255.255.0
#
interface Vlanif11
description 1lou
ip address 10.1.11.1 255.255.255.0
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 10
#
interface Ethernet0/0/4
port link-type access
port default vlan 10
#
interface Ethernet0/0/5
port link-type access
port default vlan 11
#
interface Ethernet0/0/6
port link-type access
port default vlan 11
#
interface Ethernet0/0/7
port link-type access
port default vlan 2
#
interface Ethernet0/0/8
port link-type access
port default vlan 2
#
interface Ethernet0/0/9
port link-type access
port default vlan 4
#
interface Ethernet0/0/10
port link-type access
port default vlan 4
#
interface Ethernet0/0/11
port link-type access
port default vlan 5
#
interface Ethernet0/0/12
port link-type access
port default vlan 5
#
interface Ethernet0/0/13
port link-type access
port default vlan 5
#
interface Ethernet0/0/14
port link-type access
port default vlan 5
#
interface Ethernet0/0/15
port link-type access
port default vlan 5
#
interface Ethernet0/0/16
port link-type access
port default vlan 6
#
interface Ethernet0/0/17
port link-type access
port default vlan 6
#
interface Ethernet0/0/18
port link-type access
port default vlan 6
#
interface Ethernet0/0/19
port link-type access
port default vlan 6
#
interface Ethernet0/0/20
port link-type access
port default vlan 6
#
interface Ethernet0/0/21
port link-type access
port default vlan 7
#
interface Ethernet0/0/22
port link-type access
port default vlan 7
#
interface Ethernet0/0/23
port link-type access
#
interface Ethernet0/0/24
port link-type access
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface NULL0
#
snmp-agent
snmp-agent local-engineid 000007DB7F0000010000301E
snmp-agent sys-info version v3
#
user-interface con 0
idle-timeout 0 0
user-interface vty 0 4
#
return

qq360870025

雪候鸟 发表于 2012-12-23 14:01

                               
登录/注册后可看大图

终于有高手来帮忙了，先感谢下。
dis cu
#

没见你调用呀， 另外 你先dislpay acl 3000看显示是否active的， 如果不是 你时间没调整对，HW新版交换机是调用命令是traffc-fiter 调用吧

雪候鸟

已经是 激活 状态了。我对配置不熟，请问下要怎么调用？

qq360870025

雪候鸟 发表于 2012-12-23 14:33

                               
登录/注册后可看大图

感谢朋友回答，我对配置不熟，请问下要怎么调用？

你确认下VLAN下支持 traffic-policy不
配置

traffic classfier 1
if-match acl 3000

traffic beavior 1
deny

traffic policy 1
classifier 1 behavior 1

接口下
traffic-policy  inbound

这个好像是新版本的配置

雪候鸟

不支持 这个命令~~有其他解决办法吧

qq360870025

雪候鸟 发表于 2012-12-23 15:01

                               
登录/注册后可看大图

不支持 这个命令~~有其他解决办法吧

那你只能在每个属于这个VLAN下的端口敲了，不支持 其余的也不支持的

雪候鸟

端口下输  上述的命令也不行~

qq360870025

雪候鸟 发表于 2012-12-23 15:12

                               
登录/注册后可看大图

端口下输  上述的命令也不行~

不会吧  37系列支持该命令的呀
你输入个t打个?看下 截图

jerry_jing

雪候鸟 发表于 2012-12-23 14:01

                               
登录/注册后可看大图

终于有高手来帮忙了，先感谢下。
dis cu
#

根据你这个配置  你VLAN 之间已经是不能互访啦，因为你一个VLAN是一个子网段啊，不信你可以拿两个端口试试

雪候鸟

qq360870025 发表于 2012-12-23 15:26

                               
登录/注册后可看大图

不会吧  37系列支持该命令的呀
你输入个t打个?看下 截图

哦哦~有这个命令~不好意思~
那请问下现在我只要在每个VLAN下 用 traffice-policy 命令就可以了吧，其他的几个命令不用弄了吧

雪候鸟

jerry_jing 发表于 2012-12-23 15:27

                               
登录/注册后可看大图

根据你这个配置  你VLAN 之间已经是不能互访啦，因为你一个VLAN是一个子网段啊，不信你可以拿两个端口试试 ...

华为交换机的 VLAN 默认是不能互访吗？ 我用2台计算机 分别在 2个VLAN端口测试 是可以ping 通的。还能访问我安装的测试web页面~

qq360870025

雪候鸟 发表于 2012-12-23 15:35

                               
登录/注册后可看大图

哦哦~有这个命令~不好意思~
那请问下现在我只要在每个VLAN下 用 traffice-policy 命令就可以了吧，其他的 ...

看你ACL怎么定义呀， 你要求哪几个VLAN不能访问就 调用， 注意你ACL写的内容就行了

不用写permit，HW的默认就是permit的