内网有250+vlan，开启三层，该怎么隔离vlan间通信？

**lusonmilk [Lv2 初出茅庐]** · 发表于 2018-3-28 10:00:09

本人内网有250+vlan，250+个子网，每个子网属于一个租户，每个租户出于安全考虑需要做通信隔离（本来开了三层路由，三层上互通），但是如果做acl的话需要做非常多策略，这数量庞大，估计还会拖设备性能，不知有没有其他方法？
设备拓扑大概是这样：

核心交换机2台，做了虚拟化。
不知道在接入层做pvlan，然后核心上做普通vlan，核心vlan和接入层primary vlan做对应，核心vlan上配ip跑三层，接入层下的全部做pvlan，这样大幅度可以大幅度减少acl的配置数量，不知可行不，本人没接触过pvlan

**ackca [Lv8 技术精悍]** · 发表于 2018-3-28 10:00:10

lusonmilk 发表于 2018-3-28 13:42
: D5 J8 U1 {# A那我理解应该没错？pvlan就是把一个普通vlan下再分割成多个小vlan。

就是vlan的PAT

**wellhopehxr [Lv7 精益求精]** · 发表于 2018-3-28 12:21:40

是什么厂商设备？

**ackca [Lv8 技术精悍]** · 发表于 2018-3-28 12:27:00

pvlan可以，没问题

**Rockyw [Lv10 举世无双]** · 发表于 2018-3-28 12:41:21

没做过就做做看，大不了回到原点就是了

**Asshole [Lv7 精益求精]** · 发表于 2018-3-28 13:09:12

出租房还是用PPPOE方便点

**lusonmilk [Lv2 初出茅庐]** · 发表于 2018-3-28 13:39:48

wellhopehxr 发表于 2018-3-28 12:21
- v% a1 {" `3 U' D9 g是什么厂商设备？

是锐捷的核心交换机

**lusonmilk [Lv2 初出茅庐]** · 发表于 2018-3-28 13:40:48

Rockyw 发表于 2018-3-28 12:41" T# k2 D# I* ]* H
没做过就做做看，大不了回到原点就是了

主要是不能自己随便搞，一个园区

**lusonmilk [Lv2 初出茅庐]** · 发表于 2018-3-28 13:41:07

Asshole 发表于 2018-3-28 13:09
- T- A# W/ Y; S i0 t& R3 |/ ]出租房还是用PPPOE方便点

是园区办公网

**lusonmilk [Lv2 初出茅庐]** · 发表于 2018-3-28 13:42:11

ackca 发表于 2018-3-28 12:27
( Q& _6 a' }, }+ r2 a( _6 n4 Apvlan可以，没问题

那我理解应该没错？pvlan就是把一个普通vlan下再分割成多个小vlan。

[路由交换] 内网有250+vlan，开启三层，该怎么隔离vlan间通信？