华为路由器交换机VLAN配置教程实例

在信息技术日新月异的今天，如何有效地将网络设备互联，实现安全稳定的网络环境，成为了一个关键问题。本文将介绍如何利用现有的网络设备，搭建一个基于VLAN的虚拟网络，并实现物理网络和虚拟网络之间的连接，同时通过防火墙策略和访问控制（ACL）来保障网络安全。
首先，我们需要准备以下设备：4台PC、一台华为路由器（R2621）和一台交换机（S3026e）。接下来，我们按照以下步骤进行操作：
1. 划分VLAN
在交换机上，首先启用VLAN功能，创建VLAN 2和VLAN 3。然后，将交换机的e0/1至e0/8端口分配给VLAN 2，e0/9至e0/16端口分配给VLAN 3。这样，就实现了物理网络中的虚拟网络划分。
2. 配置PC ip地址
按照以下列表配置四台PC的IP地址、掩码和网关：
| PC | IP地址 | 掩码 | 网关 | |----|--------------|------------|------------| | P1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.5 | | P2 | 192.168.1.2 | 255.255.255.0 | 192.168.1.5 | | P3 | 192.168.1.3 | 255.255.255.0 | 192.168.1.6 | | P4 | 192.168.1.4 | 255.255.255.0 | 192.168.1.6 |
3. 配置路由器
在路由器上，为Ethernet 0和Ethernet 1接口分别配置IP地址。这里，我们将Ethernet 0的IP地址设置为192.168.1.5，将Ethernet 1的IP地址设置为192.168.1.6。
4. 设置防火墙策略
在路由器上，开启防火墙功能，并将默认策略设置为拒绝所有数据包。接着，创建一个ACL规则，允许IP地址为192.168.1.1的PC访问IP地址为192.168.1.3的PC。最后，将此规则应用到路由器的两个接口上。
通过以上步骤，我们就成功地搭建了一个基于VLAN的虚拟网络，实现了物理网络和虚拟网络之间的连接。同时，通过防火墙策略和访问控制（ACL），我们保证了网络的稳定性和安全性。
在实际应用中，我们可以根据需要添加更多的ACL规则，对网络访问进行精细化管理。此外，我们还可以通过配置端口镜像、流量监控等功能，进一步优化网络性能。总之，利用现有网络设备搭建虚拟网络，实现物理网络和虚拟网络之间的连接，并通过防火墙策略和访问控制保障网络安全，是现代网络建设的重要手段。使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。实现防火墙策略，和访问控制（ACL）。 

方案说明：
四台PC的IP地址、掩码如下列表：
P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5
P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5
P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6
P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6
路由器上Ethernet0的IP 为192.168.1.5
Ethernet1的IP 为192.168.1.6
firewall 设置默认为deny

实施命令列表：
交换机上设置，划分VLAN：
sys
//切换到系统视图
[Quidway]vlan enable
[Quidway]vlan 2
[Quidway-vlan2]port e0/1 to e0/8
[Quidway-vlan2]quit
//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2
[Quidway]vlan 3
[Quidway-vlan3]port e0/9 to e0/16
[Quidway-vlan3]quit
//指定交换机的e0/9 到e0/16八个端口属于VLAN3
[Quidway]dis vlan all
[Quidway]dis cu

路由器上设置，实现访问控制：
[router]interface ethernet 0
[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 
[Router-Ethernet0]quit
//指定ethernet 0的ip
[Router]interface ethernet 1
[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0
[Router-Ethernet1]quit
//开启firewall，并将默认设置为deny
[Router]fire enable
[Router]fire default deny
//允许192.168.1.1访问192.168.1.3
//firewall策略可根据需要再进行添加
[Router]acl 101
[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0
[Router-acl-101]quit
//启用101规则
[Router-Ethernet0]fire pa 101
[Router-Ethernet0]quit
[Router-Ethernet1]fire pa 101
[Router-Ethernet1]quit