华为交换机VLAN配置教程：实战步骤详解与最佳实践

组建一个高效的网络环境，需要精心规划硬件配置和软件策略。以下是一个利用四台PC、华为路由器（R2621）、交换机（S3026e）搭建VLAN，并实现虚拟网与物理网连接，以及防火墙策略和访问控制（ACL）的详细步骤。
首先，让我们定义网络的基本架构。我们将四台PC分为两个VLAN，每个VLAN通过不同的网关IP与路由器连接。以下是各PC的ip地址和子网掩码，以及对应的网关IP：
- P1: 192.168.1.1 / 255.255.255.0，网关IP为192.168.1.5 - P2: 192.168.1.2 / 255.255.255.0，网关IP为192.168.1.5 - P3: 192.168.1.3 / 255.255.255.0，网关IP为192.168.1.6 - P4: 192.168.1.4 / 255.255.255.0，网关IP为192.168.1.6
路由器上Ethernet0接口的IP地址为192.168.1.5，而Ethernet1接口的IP地址为192.168.1.6。为了提高安全性，我们设置防火墙默认策略为拒绝所有访问。
接下来，我们从交换机开始配置。首先，需要启用VLAN功能，并为每个VLAN分配端口。以下是具体的操作步骤：
1. 切换到系统视图。 2. 启用VLAN功能。 3. 创建VLAN2，并将端口e0/1到e0/8分配给VLAN2。 4. 创建VLAN3，并将端口e0/9到e0/16分配给VLAN3。 5. 查看所有VLAN的配置。
完成交换机的配置后，我们转向路由器。在路由器上，我们需要设置两个接口的IP地址，并配置防火墙规则：
1. 配置Ethernet0接口的IP地址为192.168.1.5。 2. 配置Ethernet1接口的IP地址为192.168.1.6。 3. 启用防火墙。 4. 设置防火墙默认策略为拒绝。 5. 创建访问控制列表101，允许IP地址192.168.1.1访问192.168.1.3。 6. 将访问控制列表101应用到Ethernet0和Ethernet1接口。
通过上述步骤，我们成功划分了VLAN，并设置了基本的网络访问策略。这种配置不仅提高了网络的安全性，还通过VLAN的隔离减少了广播域的大小，从而提升了网络性能。
此外，防火墙和访问控制列表（ACL）的设置，为我们提供了细粒度的控制能力，可以根据实际需求灵活调整网络访问策略。例如，如果需要允许更多的访问，我们可以在ACL中添加相应的规则。
总之，通过合理规划网络架构，配置VLAN和访问控制策略，我们可以构建一个既安全又高效的网络环境。这不仅有助于保护网络资源，还提升了用户的工作效率。使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。实现防火墙策略，和访问控制（ACL）。 

方案说明：
四台PC的IP地址、掩码如下列表：
P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5
P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5
P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6
P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6
路由器上Ethernet0的IP 为192.168.1.5
Ethernet1的IP 为192.168.1.6
firewall 设置默认为deny

实施命令列表：
交换机上设置，划分VLAN：
sys
//切换到系统视图
[Quidway]vlan enable
[Quidway]vlan 2
[Quidway-vlan2]port e0/1 to e0/8
[Quidway-vlan2]quit
//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2
[Quidway]vlan 3
[Quidway-vlan3]port e0/9 to e0/16
[Quidway-vlan3]quit
//指定交换机的e0/9 到e0/16八个端口属于VLAN3
[Quidway]dis vlan all
[Quidway]dis cu

路由器上设置，实现访问控制：
[router]interface ethernet 0
[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 
[Router-Ethernet0]quit
//指定ethernet 0的ip
[Router]interface ethernet 1
[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0
[Router-Ethernet1]quit
//开启firewall，并将默认设置为deny
[Router]fire enable
[Router]fire default deny
//允许192.168.1.1访问192.168.1.3
//firewall策略可根据需要再进行添加
[Router]acl 101
[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0
[Router-acl-101]quit
//启用101规则
[Router-Ethernet0]fire pa 101
[Router-Ethernet0]quit
[Router-Ethernet1]fire pa 101
[Router-Ethernet1]quit