1688224176,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区打工魂 打工魂 二段 粉丝：3人 关注：1人

问题描述：

1、同VLAN的机器可以互访

2、不同VLAN的机器可以和其它VLAN网关通信，无法访问其它VLAN下的设备

3、PC未开启防火墙，未经过交换机，两个PC直连路由的LAN1和LAN2口分属两个VLAN，无法互访

4、Trunk 设置的允许所有VLAN通过

组网及组网描述：

11小时前提问

检查下PC终端的防火墙是不是开启了，需要关闭

11小时前回答 (4)

pc未开启防火墙，问题描述中已经提过

打工魂

正常来说ER系列没有针对VLAN间禁止互访的功能，可以升个版本试下；https://www.h3c.com/cn/d_

已经是最新版本

打工魂

配置应该没啥问题，这个得打400进一步判断了，可能版本问题了

新时代农民工

看了您的配置：

1、你的pc连接的lan 1 / lan 2

lan1 配置方式为trunk PVID 1  ，此pc 需要配置的ip 为 vlan 1 的 ip地址、

lan 2 配置方式为trunk pvid 2 , 连接此端口的pc ip 应该配置为 192.168.86.1 /24

而你的路由并没有设置 vlan 1 的ip地址段，和网关；

所以不会通；

----

你测试连接pc 的端口使用的trunk 模式，pc 只接受不带vlan tag 的报文；使用的接口默认PVID 所属的vlan ；

经测试：找到原因：

配置了基于源地址、接口的策略路由、策略路由匹配生效直接从wan 口转发；造成内网之间互访不通；

看一看是否支持配置基于明细的策略路由；

或者配置：一个空节点优先匹配 

V7交换机策略路由配置案例（命令行版）

创建策略路由，名称为aaa，节点为10，匹配acl 3001的数据流，不设置apply动作（如果不设置动作，则匹配到的数据转发时根据路由表来进行转，且不再匹配下一节点，配置这个节点的作用是实现内网不同网段之间互访的流量不匹配策略路由，达到可以互访的目的。备注：默认情况下，网关在路由器上的不同网段是可以互相访问的）。

在配置一个正常的策略路由节点匹配生效；

11小时前回答 (7)

我两台pc都是可以正常获取地址，并且防火墙已经关闭，且都能正常上网，也能ping通对端pc的网关

打工魂

如果正常获取地址，检查获取的网关是否和路由配置的vlan接口地址相同，而且能正常ping 通对端网关，跨vlan 已经可以通了； 您检查一下pc端设置是否开启了防火墙；关闭pc防火墙在进行测试；

一开始就已经关闭电脑防火墙了

打工魂

你在路由上测试 ping 你的两个pc地址 能通吗？

都可以通，我好像找到问题了，我设置了策略路由不同lan口下的网段不同外网出去，好像优先了

打工魂

如果是这种情况，策略路由设置的匹配源，优先从策略路由转发，需要配置一条空策略节点用于内网之间互访不匹配策略路由； 创建策略路由，名称为aaa，节点为10，匹配acl 3001的数据流，不设置apply动作（如果不设置动作，则匹配到的数据转发时根据路由表来进行转，且不再匹配下一节点，配置这个节点的作用是实现内网不同网段之间互访的流量不匹配策略路由，达到可以互访的目的。备注：默认情况下，网关在路由器上的不同网段是可以互相访问的）。

er路由器没得这些，我来找找看

打工魂

看下客户端网关配置了没？
看下路由器防火墙关了没？

10小时前回答

检查是否配置了策略路由导致流量被引流了

9小时前回答

1

6小时前回答

你正在,er8300g2-x路由器多个lan口设置不同vlan，不能互访