使用4臺PC（pc多和少，原理是一樣的，所以這里我只用了4臺pc），華為路由器（R2621）、交換機（S3026e）各一臺，組建一VLAN，實現虛擬網和物理網之間的連接。實現防火墻策略，和訪問控制（ACL）。

　　方案說明：

　　四臺PC的IP地址、掩碼如下列表：

　　P1 192.168.1.1 255.255.255.0 網關IP 為192.168.1.5

　　P2 192.168.1.2 255.255.255.0 網關IP 為192.168.1.5

　　P3 192.168.1.3 255.255.255.0 網關IP 為192.168.1.6

　　P4 192.168.1.4 255.255.255.0 網關IP 為192.168.1.6

　　路由器上Ethernet0的IP 為192.168.1.5

　　Ethernet1的IP 為192.168.1.6

　　firewall 設置默認為deny

　　實施命令列表：

　　交換機上設置，劃分VLAN：

　　sys

　　//切換到系統視圖

　　[Quidway]vlan enable

　　[Quidway]vlan 2

　　[Quidway-vlan2]port e0/1 to e0/8

　　[Quidway-vlan2]quit

　　//默認所有端口都屬于VLAN1,指定交換機的e0/1 到e0/8八個端口屬于VLAN2

　　[Quidway]vlan 3

　　[Quidway-vlan3]port e0/9 to e0/16

　　[Quidway-vlan3]quit

　　//指定交換機的e0/9 到e0/16八個端口屬于VLAN3

　　[Quidway]dis vlan all

　　[Quidway]dis cu

　　路由器上設置，實現訪問控制：

　　[Router]interface ethernet 0

　　[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0

　　[Router-Ethernet0]quit

　　//指定ethernet 0的ip

　　[Router]interface ethernet 1

　　[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0

　　[Router-Ethernet1]quit

　　//開啟firewall，并將默認設置為deny

　　[Router]fire enable

　　[Router]fire default deny

　　//允許192.168.1.1訪問192.168.1.3

　　//firewall策略可根據需要再進行添加

　　[Router]acl 101

　　[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0

　　[Router-acl-101]quit

　　//啟用101規則

　　[Router-Ethernet0]fire pa 101

　　[Router-Ethernet0]quit

　　[Router-Ethernet1]fire pa 101

　　[Router-Ethernet1]quit