华为S5720S-12TP-LI-AC交换机vlan的上网

1.华为S5720S-12TP-LI-AC交换机自身的IP地址怎么配？

进入 vlan1(interface Vlanif 1) 配置:

ip address 192.168.31.51 255.255.255.0

2.新建两个vlan

vlan 52

interface Vlanif52
 ip address 192.168.52.1 255.255.255.0
 dhcp select interface

interface Vlanif51
 ip address 192.168.51.1 255.255.255.0
 dhcp select interface

这两个vlan的端口是不能上网的（能上网的是 31网段)

但这两个能相互ping通，遇到windows ping不通的情况执行：

netsh firewall set icmpsetting 8 enable  # 允许Ping

3.两个vlan如何上网

这个很有意思，如果直接用这52，51网段去上网，上级路由器显然是不认识这哥两的。需要一个NAT来转换化上级路由器能识别的31网段。开始我是从交换机本身出发，搜索到了ip nat之类的命令，但是很遗憾，这个交换机没这命令，一连换了两个都没这命令。就去吃饭了，之后想到一个办法。家里的路由器不是可以将公网地址与内网做NAT转换么？那么是否可拿它转到我两个vlan,经过实验成功了。

一个老tp-link，默认lan口为192.168.1.0网段，就用他了。wan插上联的可上网的31网段。

将第一步的vlanif 1改成192.168.1.151,就是交换机地址了。

两个vlan与端口保持不变。

关键操作，在老tp-link里加两条路由，

这时交换机的路由表：

ok,两个vlan的终端都可以ping通192.168.1.1,都可以上网了。有个windows不能上网发现是自动获取的dns有问题，是个ipv6的，还是个本以的fec0的打头的，配成8.8.8.8就可以上网了。

另外还有个问题，两个终端访问192.168.1.1，就是tp-link路由器，访问不了，这个问题明天再说了。

看硬件:

最后，如何隔离vlan之间通信呢，豆包说在vlan上加命令，其实不是:

全局加acl 3000规则：

rule 10 deny ip source 192.168.51.0 0.0.0.255 destination 192.168.52.0 0.0.0.255

再全局流量过滤加acl：

traffic-filter vlan 52 inbound acl 3000