說明

AR2220加S5700聯(lián)通外網(wǎng)的例子,在S5700下劃分了三個vlan,vlan100連接路由器,別的兩個vlan都可以訪問外網(wǎng),vlan之間默認是互通的，就是把VLAN、靜態(tài)路由、默認路由、NAT、ACL綜合了一下，適合初學者，也適合小型網(wǎng)絡的搭建，遇到類似的朋友可以進行參考。

掌握目標

一、交換機配置

（1）VLAN劃分與接口加入

（2）VLAN接口定義

（3）默認路由

（4）DHCP配置

二、路由器配置

（1）靜態(tài)/默認路由配置

（2）NAT配置

拓撲

1、三層交換機配置

【創(chuàng)建VLAN需要】

[HW-SW]vlan batch 2 100

【把接口加入到對應的VLAN】

[HW-SW]int g0/0/3

[HW-SW-GigabitEthernet0/0/3]port link-type access

[HW-SW-GigabitEthernet0/0/3]port default vlan 2

[HW-SW]int g0/0/1

[HW-SW-GigabitEthernet0/0/1]port link-type access

[HW-SW-GigabitEthernet0/0/1]port default vlan 100

說明：默認的情況下，G0/0/1輸入VLAN 1，所以不需要修改，而G0/0/3則連接出口路由器的接口，劃入到對應的VLAN 100。

【創(chuàng)建VLANIF接口，作為對應VLAN的網(wǎng)關(guān)】

[HW-SW]int Vlanif 1

[HW-SW-Vlanif1]ip address 192.168.0.254 24

[HW-SW]int Vlanif 2

[HW-SW-Vlanif2]ip address 192.168.2.254 24

[HW-SW]int vlan 100

[HW-SW-Vlanif100]ip address 1.1.1.2 24

【DHCP配置，讓客戶獲取到地址】

[HW-SW]dhcp enable

[HW-SW]int vlan 1

[HW-SW-Vlanif1]dhcp select interface

[HW-SW-Vlanif1]

[HW-SW-Vlanif1]dhcp server dns-list 114.114.114.114

[HW-SW-Vlanif1]dhcp server domain-name ccieh3c.taobao.com

[HW-SW]int vlan 2

[HW-SW-Vlanif2]dhcp select interface

[HW-SW-Vlanif2]dhcp server dns-list 114.114.114.114

[HW-SW-Vlanif2]dhcp server domain-name ccieh3c.taobao.com

【默認路由配置】

[HW-SW]ip route-static 0.0.0.0 0 1.1.1.1

說明：接入客戶的交換機配置內(nèi)容其實很簡單（1）配置VLAN，并且讓接口輸入該VLAN，這樣PC發(fā)送的流量就只發(fā)送到該VLAN內(nèi)處理。 （2）每個VLAN的VLANIF接口配置，它們主要作為三層網(wǎng)關(guān)的通信，每個VLAN一個子網(wǎng)，每個子網(wǎng)有一個網(wǎng)關(guān)，PC上面定義的網(wǎng)關(guān)就是為VLANIF接口 （3）DHCP服務，如果客戶端比較多，手動配置地址很麻煩，所以這里采用DHCP動態(tài)分配地址，DNS、域名等參數(shù) （4）默認路由，由于PC最終需要訪問其他網(wǎng)絡或者外網(wǎng)，它們會把數(shù)據(jù)包發(fā)給三層交換機處理，交換機必須把數(shù)據(jù)包交給網(wǎng)關(guān)，而且出口只有一個，所以用默認路由來匹配是最合適的。

想系統(tǒng)的學習DHCP，可以看DHCP原理及在企業(yè)中的應用

2、出口路由器配置

【配置接口地址】

[HW-GW]int g0/0/0

[HW-GW-GigabitEthernet0/0/0]ip address 1.1.1.1 24

[HW-GW]int g0/0/1

[HW-GW-GigabitEthernet0/0/1]ip address 192.168.1.150 24

【路由配置】

[HW-GW]ip route-static 192.168.0.0 24 1.1.1.2

[HW-GW]ip route-static 192.168.2.0 24 1.1.1.2

[HW-GW]ip route-static 0.0.0.0 0 192.168.1.254

說明：前面2條是做回程路由，當數(shù)據(jù)包從網(wǎng)關(guān)返回的時候，知道發(fā)給哪個設備。第三條路由則是訪問外網(wǎng)的時候全部發(fā)往外網(wǎng)設備。

【NAT配置】

定義ACL，匹配內(nèi)網(wǎng)網(wǎng)段，做NAT轉(zhuǎn)換

[HW-GW]acl number 3000

[HW-GW-acl-adv-3000]rule permit ip source 192.168.0.0 0.0.0.255

[HW-GW-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255

外網(wǎng)口配置easy-ip，關(guān)聯(lián)ACL 3000

[HW-GW]int g0/0/1

[HW-GW-GigabitEthernet0/0/1]nat outbound 3000

說明：作用就是當匹配了ACL 3000里面的rule的時候，可以把源地址轉(zhuǎn)換成出接口地址訪問internet。

三、驗證

（1）VLAN 1的用戶測試

可以看到VLAN 1的PC已經(jīng)獲取到了IP，并且網(wǎng)關(guān)跟DNS都有，訪問114.114.114.114也訪問了，而且NAT有轉(zhuǎn)換項。

（2）VLAN 2的用戶測試

同樣訪問木有問題。

（3）VLAN 1與VLAN 2之間的用戶互訪

策略限制

如果要限制VLAN 1 VLAN 2的用戶 可以通過端口隔離技術(shù)實現(xiàn)，是限制VLAN 1 VLAN2的部分用戶之間不能互訪，則必須通過ACL。