1.现场情况说明：我这边是一台misgate服务器，下面有五台基于opc通讯的DCS服务器，现场需要做两个配置策略 1 misgate服务器可以和下面五台服务器相互访问 2 下面五台服务器相互之间不能访问图11 misgate服务器可以和下面五台服务器相互访问1 首先你要有根console线，你要有根console线，console线（重要的事说三遍）2 你要有个超级终端，有个超级终端，超级终端（重要的事说三遍,本文档附带超级终端）3 console线连接console口和电脑，打开超级终端，点击新建连接，正确设置波特率、地址位（三层交换机自带设置文档）4 配置VLAN间通过VLANIF接口通信示例（下面的代码是为交换机口分配ip，这个ip也是服务器的默认网关，但是请注意，按着当前步骤配置过后，六个服务器之间实际上是可以相互ping通的，也就是说，这个步骤只是实现了所有网段之间的互联，没有做下面五台服务器之间的隔离，不信的话可以拿两台电脑上试试，按照图一设置参数，然后相互ping）组网需求企业的不同用户拥有相同的业务，且位于不同的网段。

现在相同业务的用户所属的VLAN不相同，需要实现不同VLAN中的用户相互通信。

如图1所示，User1和User2中拥有相同的业务，但是属于不同的VLAN且位于不同的网段。

现需要实现User1和User2互通。

图1 配置VLAN间通过VLANIF接口通信组网图配置思路采用如下的思路配置VLAN间通过VLANIF接口通信：1.创建VLAN，确定用户所属的VLAN。

2.配置接口加入VLAN，允许用户所属的VLAN通过当前接口。

3.创建VLANIF接口并配置IP地址，实现三层互通。

说明：为了成功实现VLAN间互通，VLAN内主机的缺省网关必须是对应VLANIF接口的IP地址。

操作步骤1.配置Switch# 创建VLAN<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 30# 配置接口加入VLAN[Switch] interface gigabitethernet0/0/1[Switch-GigabitEthernet0/0/1] port link-type access[Switch-GigabitEthernet0/0/1] port default vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/3[Switch-GigabitEthernet0/0/2] port link-type access[Switch-GigabitEthernet0/0/2] port default vlan 30[Switch-GigabitEthernet0/0/2] quit# 配置VLANIF接口的IP地址[Switch] interface vlanif 10[Switch-Vlanif10] ip address 129.0.0.1 24[Switch-Vlanif10] quit[Switch] interface vlanif 30[Switch-Vlanif20] ip address 129.0.4.1 24[Switch-Vlanif20] quit2.检查配置结果在VLAN10中的主机上配置IP地址为129.0.0.22/24，缺省网关为VLANIF10接口的IP地址129.0.0.1/24。

在VLAN30中的主机上配置IP地址为129.0.4.4/24，缺省网关为VLANIF20接口的IP地址129.0.4.1/24。

配置完成后，VLAN10内的主机与VLAN30内的主机能够相互访问。

结论：按着上面的代码设置三层交换机就行（这边现场有个特殊情况在于，读取和利时的opc数据是从它的操作网卡上读取，他们公司死活不加网卡、还不准我们动它的网卡、不准我们设置默认网关，所以我把三层交换机2口留给了和利时，2口的ip地址129.0.0.1/24，2口和1口的ip地址一样，不同在于2口连接的和利时的网卡不设置默认网关，设置的时候也把gigabitethernet0/0/2分配给vlan10和vlanif10就行）5应用高级ACL配置流分类示例组网需求下面的代码要做的策略是拒绝gigabitethernet0/0/3 和gigabitethernet0/0/4、gigabitethernet0/0/5、gigabitethernet0/0/6之间的通讯（拒绝3-4、3-5、3-6之间的通讯），之后还要做4-5、4-6还有5-6 之间的通讯。

图1 应用高级ACL配置组网图配置思路采用如下的思路配置ACL：1.配置ACL。

2.配置流分类。

3.配置流行为。

4.配置流策略。

5.在接口上应用流策略。

操作步骤1.配置ACL#配置ACL策略，下面的策略表示 3-4、3-5、3-6之间的acl通讯策略，rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.5.0 0.0.0.255 ，这是表示129.0.4网段和129.0.5网段的通讯，如果写成129.0.4.1，那么表示的就是129.0.4.1这个具体的地址了，我们要做的实际上只是拒绝3-4网口网段之间的通讯，如果你要把DCS服务器地址写死，那么写成129.0.4.4也行，那MCP服务器的地址IP就必须是129.0.4.4咯。

至于为什么129.0.4.0 后面为什么要写0.0.0.255而不是255.255.255.0，这里是因为反掩码，可以去百度一下“反掩码”。

[Switch] acl 3034[Switch-acl-adv-3034] rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.5.0 0.0.0.255[Switch-acl-adv-3034] quit[Switch] acl 3035[Switch-acl-adv-3035] rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.6.0 0.0.0.255[Switch-acl-adv-3035] quit[Switch] acl 3036[Switch-acl-adv-3036] rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.7.0 0.0.0.255[Switch-acl-adv-3036] quit2.配置基于ACL的流分类[Switch] traffic classifier c_3034[Switch-classifier-c_3034] if-match acl 3034[Switch-classifier-c_3034] quit[Switch] traffic classifier c_3035[Switch-classifier-c_3035] if-match acl 3035[Switch-classifier-c_3035] quit[Switch] traffic classifier c_3036[Switch-classifier-c_3036] if-match acl 3036[Switch-classifier-c_3036] quit3.配置流行为# 配置流行为b_303456，动作为拒绝报文通过。

[Switch] traffic behavior b_303456[Switch-behavior-b_303456] deny[Switch-behavior-b_303456] quit4.配置流策略# 配置流策略p_303456，将流分类c_3034、c_3035、c_3036与流行为b_303456关联。

[Switch] traffic policy p_303456[Switch-trafficpolicy-p_303456] classifier c_3034 behavior b_303456[Switch-trafficpolicy-p_303456] classifier c_3035 behavior b_303456[Switch-trafficpolicy-p_303456] classifier c_3036 behavior b_303456[Switch-trafficpolicy-p_303456] quit7.应用流策略5# 将流策略p_303456应用到GE0/0/3接口。

[Switch] interface gigabitethernet 0/0/3[Switch-GigabitEthernet0/0/2] traffic-policy p_303456 inbound[Switch-GigabitEthernet0/0/2] quit到这里，你的对gigabitethernet 0/0/3到4、5、6接口的通讯拒绝策略就配置成功了，接下来就参照上面的第五步策略再配置一下4-5、4-5,5-6的ACL流策略。

下面这句是当你手贱把流策略写到接口写错了过后用的。

# 如果手贱，流策略配置到GE0/0/3接口错了，可以参照一下代码[Switch] interface gigabitethernet 0/0/3[Switch-GigabitEthernet0/0/3]undo traffic-policy p_303456 inbound[Switch-GigabitEthernet0/0/3] quit最后特别提一下和利时，为毛不设置一下和利时的ACL流策略，原因就是和利时的网卡没网关，over。