今天粉丝说公司现在有两台服务器，分别是web（server1）和ftp（server2），局域网有两个网段，要求这两个网段不能互访，而且都要访问web服务器，但是不能访问ftp服务器。

需要帮助解决，后来我建议采用ACL三层隔离vlan的方法解决。

下面是拓扑图和详细过程。

1.1、PC

PC1

Ip:192.168.20.1

子网掩码：255.255.255.0

网关：192.168.20.254

PC2

Ip:192.168.30.1

子网掩码：255.255.255.0

网关：192.168.30.254

1.2、二层交换机

1.2.1、Sw2配置

<Huawei>sys

[Huawei]sys sw2

[sw2]vlan 20

[sw2-vlan20]int g0/0/2

[sw2-GigabitEthernet0/0/2]port link-type access

[sw2-GigabitEthernet0/0/2]port default vlan 20

[sw2]int g0/0/1

[sw2-GigabitEthernet0/0/1]port link-type trunk

[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 20

1.2.2、Sw3配置

<Huawei>sys

[Huawei]sys sw3

[sw3]vlan 30

[sw3]int g0/0/2

[sw3-GigabitEthernet0/0/2]p l a

[sw3-GigabitEthernet0/0/2]p d v 30

[sw3]int g0/0/1

[sw3-GigabitEthernet0/0/1]p l t

[sw3-GigabitEthernet0/0/1]p t a v 30

1.3、三层交换机

Sw1配置

<Huawei>sys

[Huawei]sys sw1

[sw1]vlan batch 20 30 40

[sw1]int g0/0/1

[sw1-GigabitEthernet0/0/1]p l t

[sw1-GigabitEthernet0/0/1]p t a v 20

[sw1]int g0/0/2

[sw1-GigabitEthernet0/0/2]p l t

[sw1-GigabitEthernet0/0/2]p t a v 30

[sw1]int g0/0/3

[sw1-GigabitEthernet0/0/3]p l a

[sw1-GigabitEthernet0/0/3]p d v 40

[sw1]int g0/0/4

[sw1-GigabitEthernet0/0/4]p l a

[sw1-GigabitEthernet0/0/4]p d v 40

配置各vlan的网关

[sw1]int vlanif 20

[sw1-Vlanif20]ip addr 192.168.20.254 24

[sw1]int vlanif 30

[sw1-Vlanif30]

[sw1-Vlanif30]ip addr 192.168.30.254 24

[sw1]int vlanif 40

[sw1-Vlanif40]ip addr 192.168.40.254 24

1.4、服务器配置

Server1

IP：192.168.40.1

掩码：255.255.255.0

网关：192.168.40.254