华为小型网络组网模型讲解（AR系列路由器+S5700交换机）

1 案例需求说明

AR2220加S5700联通外网的例子,在S5700下划分了三个vlan,vlan100连接路由器,别的两个vlan都可以访问外网,vlan之间默认是互通的，这里涉及的知识点有VLAN、静态路由、默认路由、NAT、ACL，适合初学者，也适合小型网络的搭建，遇到类似的朋友可以进行参考

## 一、交换机配置

（1）VLAN划分与接口加入
（2）VLAN接口定义
（3）默认路由
（4）DHCP配置

二、路由器配置
（1）静态/默认路由配置
（2）NAT配置

2 掌握目标与配置

1）三层交换机配置
【创建VLAN需要】
[HW-SW]vlan batch 2 100

【把接口加入到对应的VLAN】
[HW-SW]int g0/0/3
[HW-SW-GigabitEthernet0/0/3]port link-type access
[HW-SW-GigabitEthernet0/0/3]port default vlan 2

[HW-SW]int g0/0/1
[HW-SW-GigabitEthernet0/0/1]port link-type access
[HW-SW-GigabitEthernet0/0/1]port default vlan 100
说明：默认的情况下，G0/0/1输入VLAN 1，所以不需要修改，而G0/0/3则连接出口路由器的接口，划入到对应的VLAN 100。

【创建VLANIF接口，作为对应VLAN的网关】
[HW-SW]int Vlanif 1
[HW-SW-Vlanif1]ip address 192.168.0.254 24

[HW-SW]int Vlanif 2
[HW-SW-Vlanif2]ip address 192.168.2.254 24

[HW-SW]int vlan 100
[HW-SW-Vlanif100]ip address 1.1.1.2 24

【DHCP配置，让客户获取到地址】
[HW-SW]dhcp enable

[HW-SW]int vlan 1
[HW-SW-Vlanif1]dhcp select interface
[HW-SW-Vlanif1]
[HW-SW-Vlanif1]dhcp server dns-list 114.114.114.114
[HW-SW-Vlanif1]dhcp server domain-name ccieh3c.com

[HW-SW]int vlan 2
[HW-SW-Vlanif2]dhcp select interface
[HW-SW-Vlanif2]dhcp server dns-list 114.114.114.114
[HW-SW-Vlanif2]dhcp server domain-name ccieh3c.com

【默认路由配置】
[HW-SW]ip route-static 0.0.0.0 0 1.1.1.1

说明：接入客户的交换机配置内容其实很简单（1）配置VLAN，并且让接口输入该VLAN，这样PC发送的流量就只发送到该VLAN内处理。（2）每个VLAN的VLANIF接口配置，它们主要作为三层网关的通信，每个VLAN一个子网，每个子网有一个网关，PC上面定义的网关就是为VLANIF接口 （3）DHCP服务，如果客户端比较多，手动配置地址很麻烦，所以这里采用DHCP动态分配地址，DNS、域名等参数 （4）默认路由，由于PC最终需要访问其他网络或者外网，它们会把数据包发给三层交换机处理，交换机必须把数据包交给网关，而且出口只有一个，所以用默认路由来匹配是最合适的。

（2）出口路由器配置

【配置接口地址】
[HW-GW]int g0/0/0
[HW-GW-GigabitEthernet0/0/0]ip address 1.1.1.1 24

[HW-GW]int g0/0/1
[HW-GW-GigabitEthernet0/0/1]ip address 192.168.1.150 24

【路由配置】

[HW-GW]ip route-static 192.168.0.0 24 1.1.1.2
[HW-GW]ip route-static 192.168.2.0 24 1.1.1.2

[HW-GW]ip route-static 0.0.0.0 0 192.168.1.254
说明：前面2条是做回程路由，当数据包从网关返回的时候，知道发给哪个设备。第三条路由则是访问外网的时候全部发往外网设备。

【NAT配置】
定义ACL，匹配内网网段，做NAT转换
[HW-GW]acl number 3000
[HW-GW-acl-adv-3000]rule permit ip source 192.168.0.0 0.0.0.255
[HW-GW-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255

外网口配置easy-ip，关联ACL 3000
[HW-GW]int g0/0/1
[HW-GW-GigabitEthernet0/0/1]nat outbound 3000
说明：作用就是当匹配了ACL 3000里面的rule的时候，可以把源地址转换成出接口地址访问internet。

（3）测试验证

可以看到VLAN 1的PC已经获取到了IP，并且网关跟DNS都有，访问114.114.114.114也访问了，而且NAT有转换项。

3 策略限制

说明：如果要限制VLAN 1 VLAN 2的用户 可以通过端口隔离技术实现，是限制VLAN 1 VLAN2的部分用户之间不能互访，则必须通过ACL。

4 提问与分享（想提高自己，从独立思考与分享开始）

提问：工作中常见到一个最多的现象就是2个VLAN默认是互通了，但是比如A Ping B通，B ping A则不通，导致这个问题的现象是什么？