ok华为路由器交换机VLAN配置.doc

《ok华为路由器交换机VLAN配置.doc》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、实例：华为路由器交换机VLAN配置高手素来！使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。实现防火墙策略，和访问控制（ACL）。方案说明：四台PC的IP地址、掩码如下列表：P1192.168.1.1255.255.255.0网关IP为192.168.1.5P2192.168.1.2255.255.255.0网关IP为192.168.1.5P3192.168.1.3255.255.255.0网关IP为192.168.1.6P41

2、92.168.1.4255.255.255.0网关IP为192.168.1.6路由器上Ethernet0的IP为192.168.1.5Ethernet1的IP为192.168.1.6firewall设置默认为deny实施命令列表：交换机上设置，划分VLAN：sys//切换到系统视图[Quidway]vlanenable[Quidway]vlan2[Quidway-vlan2]porte0/1toe0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1到e0/8八个端口属于VLAN2[Quidway]vla

3、n3[Quidway-vlan3]porte0/9toe0/16[Quidway-vlan3]quit//指定交换机的e0/9到e0/16八个端口属于VLAN3[Quidway]disvlanall[Quidway]discu路由器上设置，实现访问控制：[Router]interfaceethernet0[Router-Ethernet0]ipaddress192.168.1.5255.255.255.0[Router-Ethernet0]quit//指定ethernet0的ip[Router]interfaceethernet1[Router-E

4、thernet1]ipaddress192.168.1.6255.255.255.0[Router-Ethernet1]quit//开启firewall，并将默认设置为deny[Router]fireenable[Router]firedefaultdeny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl101[Router-acl-101]rulepermitipsource192.168.1.1255.255.255.0destination192.168.1.3255.

5、255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]firepa101[Router-Ethernet0]quit[Router-Ethernet1]firepa101[Router-Ethernet1]quit本我的问题是：如果这些PC已经配置好IP，不就是已经就可以相互访问了麽？为什么还要这么配置，岂不是费时费事？划VLAN的目的在于分割局域网，最重要的目的在于能够阻挡广播和单薄流量不会被其他VLAN接收，有助于控制网络流量，减少设备投资，简化网络管理，提高网络安全性！！华为路由器或三

6、层交换机通用如何通过ACL分割两个VLAN不是用ACL来分割VLANACL是访问控制列表,是对VLAN互访做限制的VRP3.4版路由器上做的VLAN10IP段192.168.0.0/24VLAN20IP段192.168.2.0/24划分完子接口后默认是可以进行3层的互访，但是网上邻居和网络共享是无法进行的，因为需要进行NETBIOS广播，而路由器是隔离广播的，所以就行不通，如果想阻止所有的互访ACLNUM3001rule0denyipsource192.168.0.00.0.0.255destination192.168.2.00.0.0.255a

7、clnum3002rule0denyipsource192.168.2.00.0.0.255destination192.168.0.00.0.0.255进入到VLAN10的子接口执行如下命令，就阻止VLAN10向VLAN20发信息firewallpacket-filter3001inbound进入到VLAN20的子接口执行如下命令，就阻止VLAN20向VLAN10发信息firewallpacket-filter3002inbound这样两个VLAN直接就彻底的不能互访了