实例：华为路由器交换机VLAN配置高手素来！ 使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。实现防火墙策略，和访问控制（ACL）。 方案说明： 四台PC的IP地址、掩码如下列表： P1192.168.1.1255.255.255.0网关IP为192.168.1.5 P2192.168.1.2255.255.255.0网关IP为192.168.1.5 P3192.168.1.3255.255.255.0网关IP为192.168.1.6 P4192.168.1.4255.255.255.0网关IP为192.168.1.6 路由器上Ethernet0的IP为192.168.1.5 Ethernet1的IP为192.168.1.6 firewall设置默认为deny 实施命令列表： 交换机上设置，划分VLAN： sys //切换到系统视图 [Quidway]vlanenable [Quidway]vlan2 [Quidway-vlan2]porte0/1toe0/8 [Quidway-vlan2]quit //默认所有端口都属于VLAN1,指定交换机的e0/1到e0/8八个端口属于VLAN2 [Quidway]vlan3 [Quidway-vlan3]porte0/9toe0/16 [Quidway-vlan3]quit //指定交换机的e0/9到e0/16八个端口属于VLAN3 [Quidway]disvlanall [Quidway]discu 路由器上设置，实现访问控制： [Router]interfaceethernet0 [Router-Ethernet0]ipaddress192.168.1.5255.255.255.0 [Router-Ethernet0]quit //指定ethernet0的ip [Router]interfaceethernet1 [Router-Ethernet1]ipaddress192.168.1.6255.255.255.0 [Router-Ethernet1]quit //开启firewall，并将默认设置为deny [Router]fireenable [Router]firedefaultdeny //允许192.168.1.1访问192.168.1.3 //firewall策略可根据需要再进行添加 [Router]acl101 [Router-acl-101]rulepermitipsource192.168.1.1255.255.255.0destination192.168.1.3255.255.255.0 [Router-acl-101]quit //启用101规则 [Router-Ethernet0]firepa101 [Router-Ethernet0]quit [Router-Ethernet1]firepa101 [Router-Ethernet1]quit本 我的问题是：如果这些PC已经配置好IP，不就是已经就可以相互访问了麽？为什么还要这么配置，岂不是费时费事？ 划VLAN的目的在于分割局域网，最重要的目的在于能够阻挡广播和单薄流量不会被其他VLAN接收，有助于控制网络流量，减少设备投资，简化网络管理，提高网络安全性！！ 华为路由器或三层交换机通用如何通过ACL分割两个VLAN 不是用ACL来分割VLANACL是访问控制列表,是对VLAN互访做限制的VRP3.4版路由器上做的VLAN10IP段192.168.0.0/24VLAN20IP段192.168.2.0/24划分完子接口后默认是可以进行3层的互访，但是网上邻居和网络共享是无法进行的，因为需要进行NETBIOS广播，而路由器是隔离广播的，所以就行不通，如果想阻止所有的互访ACLNUM3001rule0denyipsource192.168.0.00.0.0.255destination192.168.2.00.0.0.255aclnum3002rule0denyipsource192.168.2.00.0.0.255destination192.168.0.00.0.0.255进入到VLAN10的子接口执行如下命令，就阻止VLAN10向VLAN20发信息firewallpacket-filter3001inbound进入到VLAN20的子接口执行如下命令，就阻止VLAN20向VLAN10发信息firewallpacket-filter3002inbound这样两个VLAN直接就彻底的不能互访了