華三H3C交換機VLAN與VLAN之間怎么做三層隔離？相信很多新手同學在學習交換機配置的過程中會發現，當三層交換機配置了vlan接口IP地址之后，所有的VLAN之間就算是不同的網段也就互通了，那么我們如何配置H3C VLAN隔離呢？下面就給大家通過實例教程的方式做演示，幫助大家解決問題，本文主要講解：高級ACL包過濾策略做VLAN間隔離。

方法步驟：

實驗環境：H3C HCL模擬器

實驗拓撲：

實驗要求：VLAN 10端口所接的PC不能ping通 VLAN 20 30下的計算機

實驗過程：

1、創建VLAN 10 20 30 三條VLAN，并配置VLAN接口地址

VLAN10：192.168.10.254/24

VLAN20：192.168.20.254/24

VLAN30：192.168.30.254/24

//vlan 10配置
vlan 10
int vlan 10
ip add 192.168.10.254 24
 
//vlan 20配置
vlan 20
int vlan 20
ip add 192.168.20.254 24
 
//vlan 30配置
vlan 30
int vlan 30
ip add 192.168.30.254 24

2、配置三臺PC IP地址為靜態IP地址

PC_1：192.168.10.1/24

PC_2：192.168.20.1/24

PC_3：192.168.30.1/24

這里我就只演示一張圖片：

3、分別按照上面的拓撲圖將交換機：g1/0/1、g1/0/2、g1/0/3 三個端口分別加入：VLAN 10 20 30，代碼如下：

vlan 10
port g1/0/1
 
vlan 20
port g1/0/2
 
vlan 30
port g1/0/3

到此，VLAN10 20 30就互通了，如下圖所示：

4、通過配置ACL 策略包過濾對VLAN進行隔離，創建高級acl 3000，并設置策略防止：192.168.10.0段和另外兩個網段互通。

acl advanced 3000
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
 
int vlan 10
packet-filter 3000 inbound

最終效果：

溫馨提示：通過上面的實驗相關配置，192.168.10.0網段就無法和其它VLAN下的兩個網段PC互通了，但是，大家猜一下三條VLAN之間，還有哪些網段或IP地址能ping通？這個問題留給大家自行測試，這樣有助于大家搞明白VLAN間通過ACL包過濾做隔離的原理，只有多練習、嘗試不同的策略，才能加深和掌握H3C交換機的配置命令。