交换机划VLAN后接路由器如何配置访问外网

近期看到有些朋友问交换机划VLAN后接路由器如何配置访问外网，其实这是个比较简单，也比较典型的配置。网上也很容易找到，但都不系统很零散。这里针对几种常见的情况，分别做了配置：1、拓扑结构图：1）本例中的路由器均为华为AR28-10,交换机SW1为华为的S3526带3层交换功能，SW2为华为2403H-EI二层交换机。2）图模拟了常见的拓扑结构。也没有用到任何厂商特性，因此也适用于其他厂商的设备，只是命令行有所不同。2、基础配置：ISP:interfaceSerial0/0#配置和RA相连的接口clockDTECLK1link-protocolpppipaddress10.0.1.1255.255.255.252interfaceLoopBack0#配置该接口模拟internet的一个IP。ipaddress1.1.1.1255.255.255.255iproute-static59.61.94.144255.255.255.24810.0.1.2preference60#将该地址段指向RA，也即分配地址池给RA。RA:nataddress-group059.61.94.14559.61.94.150#配置NAT地址池，也即ISP分配的地址段。（如果外网接口类型为广播，则最好把这些地址配置给LOOPBACK接口，否则可能不同，但此例是点对点接口，无此问题）aclnumber2000#配置NAT用的ACL列表rule0permitsource172.16.0.00.0.0.255rule1permitsource172.16.1.00.0.0.255rule2permitsource10.0.0.00.0.0.3interfaceEthernet0/0#配置内网口ipaddress10.0.0.1255.255.255.252interfaceSerial0/0#配置外网口link-protocolpppipaddress10.0.1.2255.255.255.252natoutbound2000address-group0#做NAT，采用先前配置的地址池。iproute-static0.0.0.00.0.0.010.0.1.1preference60配置默认路由SW1:gvrp#启用GVRP注册协议，用于动态创建SW2的VLAN，实现VLAN的集中管理。vlan2#创建各VLANvlan3vlan24#因为S3526不支持被路由接口，因此将E0/24划到VLAN24，给VLAN24配置虚接口IP用于路由。（cisco则可以在e0/24接口用noswitchport配置为被路由接口，直接配置IP即可）interfaceVlan-interface2#配置VLAN虚接口IPipaddress172.16.0.254255.255.255.0interfaceVlan-interface3配置VLAN虚接口IPipaddress172.16.1.254255.255.255.0interfaceVlan-interface24配置VLAN虚接口IPipaddress10.0.0.2255.255.255.252interfaceEthernet0/1#划分接口到VLANportaccessvlan2interfaceEthernet0/10#配置和SW2互联的E0/10接口为Trunk接口，并启用GVRP协议。portlink-typetrunkporttrunkpermitvlan2to3gvrpregistrationfixedgvrpinterfaceEthernet0/24#划分接口到VLANportaccessvlan24SW2:gvrp#启用GVRP协议，接收SW1配置的VLANinterfaceEthernet0/1#给VLAN划接口portaccessvlan3interfaceEthernet0/10#配置和SW1相连的Trunk口，并启用GVRPportlink-typetrunkporttrunkpermitvlan1to3gvrp3、3层交换+VLAN+路由器+静态路由：1)此例为内网采用静态路由配置，也是常见并推荐采用的配置。RA:iproute-static172.16.0.0255.255.255.010.0.0.2preference60#这2句指向内网2个VLAN网段即是回指路由。iproute-static172.16.1.0255.255.255.010.0.0.2preference60SW1:iproute-static0.0.0.00.0.0.010.0.0.1preference60#配置静态缺省路由，指向RA.4、3层交换+VLAN+路由器+动态路由（RIPV2）：1）此例为动态路由配置，考虑到子网划分，采用RIPV2路由协议。不过针对于如此简单的拓扑，不推荐用动态路由协议。从下例可以看到，其实对于一个简单的网络。动态路由协议比静态路由更麻烦。RA:interfaceEthernet0/0ripversion2multicast#配置RIP版本2interfaceSerial0/0undoripoutput#这2句是配置S0/0为RIP被动接口。undoripinputrip#配置RIP协议import-routestaticcost2#重发布静态路由0.0.0.0给SW1，让SW1知道缺省出口。network10.0.0.0SW1:interfaceVlan-interface24ripversion2multicast#配置RIP版本2rip#RIP配置undosummary#关闭自动汇总，这样RA就能够知道网络172.16.0.0的具体子网了。network10.0.0.0network172.16.0.05、单臂路由配置：1）此例用于不支持3层交换的2层交换机使用。由于路由器的转发速率大大低于3层交换机的转发速率，因此如果有3层交换机，尽量不要采用此配置。RA:interfacee0/0undoipaddress#此时E0/0接口原来的10.0.0.0/30段的IP已经无用了，可以去掉了。interfaceEthernet0/0.2#配置VLAN2的子接口ipaddress172.16.0.254255.255.255.0vlan-typedot1qvid2#interfaceEthernet0/0.3#配置VLAN3的子接口ipaddress172.16.1.254255.255.255.0vlan-typedot1qvid3aclnumber2000undorule2#此时ACL2000的rule2也没用了，可以去掉了。quitSW1:undovlan24#此时的VLAN24已经没用了，去掉它。interfaceEthernet0/24#配置E0/24口为Trunk口，此口用于连接RA，做单臂路由。portlink-typetrunkporttrunkpermitvlan2to36、补充配置：1）对于控制系统的安全，以及其他配置等，请参考其他资料。尽量建议在路由器上配置。交换机配置过多的ACL是要影响转发性能的。2）如果PC间无需通信，可以考虑配置PVLAN来进行隔了。这样可以有效的控制病毒的传播。