紫月i的博客

网址：https://forum.huawei.com/enterprise/zh/thread/580934378039689216。防火墙在企业网是一个硬件设备，部署在不同的区域之间，外网和内网之间，互联网和专网之间,目的是为了安全。2.交换模式（二层） 物理口不能直接配ip，类似交换机可以配vlan trunk。1.路由模式（三层） 物理口可以直接配ip。3.dmz区域：中间区域，服务器区。使用nat把私网ip转为公网ip。允许从信任区域到非信任区域。2.非信任区域：外网。

通信原理为：pc1要向ip地址为192.168.2.10发送一个请求，发现目标地址与自己不在同一个网段之上，就会发请求转发给自己的网关192.168.1.1，通过网关向其转发请求，同时这个网关是交换机2的vlan10的ip地址，所以vlan 10就会替自己发送这个请求 ，因为vlan10与vlan20都在同一个交换机当中，所以vlan 10与vlan 20是可以实现通信的，vlan 20又能与pc2实现通信，所以最终pc1与pc2可以实现通信。现有pc1与pc2不在同一个网段之下，通过交换机相连接。

display vlan可以查看当前交换机下的vlan。现在先进入交换机命令行界面，创建两个vlan。尝试用pc1访问pc2，发现不能实现通信。再进入对应的串口，设置交换机的串口模式。现有两个电脑通过交换机直接连接在一起。正常状态下是可以ping成功的。

请注意，这里的步骤和命令是通用的，具体的命令可能会根据华为交换机的型号和操作系统版本有所不同。在进行配置之前，建议查阅你所使用的华为交换机的官方文档，以确保正确无误地执行配置步骤。这里，deny 表示拒绝，ip 表示IP协议，source 指定源IP地址，destination 指定目的IP地址，0 表示子网掩码（即单个IP地址）。另外，确保在配置ACL之前备份当前的配置，并且在配置之后进行充分的测试，以确保ACL规则按预期工作，没有影响到其他网络流量。将配置好的ACL应用到交换机上连接两台电脑的接口。

电脑判断不同网段的ip会把请求转给网关，路由器的串口标准为电脑的网关，所以电脑就会把该请求转发给路由器，然后路由器设置静态路由之后，就能把请求目标的地址转发给下一个路由器，然后在第二个路由器再设置第二个设备返回的静态路由，就能实现两个不同网段设备之间的通信。华为路由器配置静态路由命令： ip route-static 目的网络地址 子网掩码 下一跳地址。交换机可以实现同一个网段下的不同设备直接通信。路由器可以实现不同的网段下的设备进行通信。