华为vlan间隔离方案求助

**b196623 [Lv9 无所不能]** · 发表于 2016-12-9 15:14:42

vlan10，20，30，40网关在SW1上，SW2是二层交换机，要求vlan30和vlan40能ping通vlan10和20，但是vlan30和40之间不能互ping，求解决方案
现知道可以ACL流策略隔离，但是真实拓扑大，ACL表太长，求更好的技术方案（设备华为的）

华为vlan间隔离方案求助

**宅男女神 [超级版主]** · 发表于 2016-12-9 16:16:59

vlan间的控制应该就是用acl吧
还有其他什么合适的方法么?

**b196623 [Lv9 无所不能]** · 发表于 2016-12-9 17:06:28

宅男女神发表于 2016-12-9 16:165 w W/ Q) S1 a/ V/ [
vlan间的控制应该就是用acl吧
1 J7 K5 l6 q$ g' O还有其他什么合适的方法么?

因为真实环境所需要隔离的vlan数太多了，上网流量也很大，每次流量都要检测ACL就有点耗，所以在想想论坛坛友有没有更好的方法帮忙下

**Rockyw [Lv10 举世无双]** · 发表于 2016-12-10 11:17:40

ACL貌似是最优的方法

**lwp3001 [Lv8 技术精悍]** · 发表于 2016-12-20 09:29:27

没有别的方法了，目前只能用acl

**chengzl [Lv7 精益求精]** · 发表于 2017-1-2 17:40:59

我觉得现网当中肯定用acl，出口交换机后面加一个防火墙。
从实验角度理论上来说，我觉得可以这样
把vl30的svi降到接入层。vl30 vl20 vl10 通过hybrid互访，vl40不变，通过出口那个svi互访。但觉得实际操作意义不大

**情泛泛 [Lv2 初出茅庐]** · 发表于 2017-2-8 15:29:34

这个就要结合实际情况来做了，要么加新设备做改造，不想花钱就只有ACL了；
如果只是图中，只需deny vlan40进30，deny 30进40就ok；
如果比较多，担是IP规划合理也比较简单，写成大段就可以了。

**204866989 [Lv4 初露锋芒]** · 发表于 2017-2-21 07:42:20

思科？。。。。

**310224570 [Lv2 初出茅庐]** · 发表于 2017-2-28 14:32:40

使用ACL是最优的办法，

[华为] 华为vlan间隔离方案求助