VLAN 路由器典型配置

VLAN+路由器典型配置 近期看到 CU 有些朋友问交换机划 VLAN 后接路由器如何配置访问外网，其实这是个 比较简单，也比较典型的配置。网上也很容易找到，但都不系统很零散。这里针对几种常见 的情况，分别做了配置： 1、 拓扑结构图： 1） 本例中的路由器均为华为 AR28-10,交换机 SW1 为华为的 S3526 带 3 层交换功能，SW2 为华为 2403H-EI 二层交换机。 2） 图模拟了常见的拓扑结构。也没有用到任何厂商特性，因此也适用于其他厂商的设备， 只是命令行有所不同。 2、基础配置： ISP: interface Serial0/0 #配置和 RA 相连的接口 clock DTECLK1 link-protocol ppp ip address 10.0.1.1 255.255.255.252 interface LoopBack0 #配置该接口模拟 internet 的一个 IP。 ip address 1.1.1.1 255.255.255.255 ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA，也 即分配地址池给 RA。 RA: nat address-group 0 59.61.94.145 59.61.94.150 #配置 NAT 地址池，也即 ISP 分配的地址段。（如 果外网接口类型为广播，则最好把这些地址配置给 LOOPBACK 接口，否则可能不同，但此 例是点对点接口，无此问题） acl number 2000 #配置 NAT 用的 ACL 列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf rule 0 permit source 172.16.0.0 0.0.0.255 rule 1 permit source 172.16.1.0 0.0.0.255 rule 2 permit source 10.0.0.0 0.0.0.3 interface Ethernet0/0 #配置内网口 ip address 10.0.0.1 255.255.255.252 interface Serial0/0 #配置外网口 link-protocol ppp ip address 10.0.1.2 255.255.255.252 nat outbound 2000 address-group 0 #做 NAT，采用先前配置的地址池。 ip route-static 0.0.0.0 0.0.0.0 10.0.1.1 preference 60 配置默认路由 SW1: gvrp #启用 GVRP 注册 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，用于动态创建 SW2 的 VLAN，实现 VLAN 的集中管理。 vlan 2 #创建各 VLAN vlan 3 vlan 24#因为 S3526 不支持被路由接口，因此将 E0/24 划到 VLAN24，给 VLAN24 配置虚接 口 IP 用于路由。（cisco 则可以在 e0/24 接口用 no switchport 配置为被路由接口，直接配置 IP 即可） interface Vlan-interface2 #配置 VLAN 虚接口 IP ip address 172.16.0.254 255.255.255.0 interface Vlan-interface3 配置 VLAN 虚接口 IP ip address 172.16.1.254 255.255.255.0 interface Vlan-interface24 配置 VLAN 虚接口 IP ip address 10.0.0.2 255.255.255.252 interface Ethernet0/1 #划分接口到 VLAN port access vlan 2 interface Ethernet0/10 #配置和 SW2 互联的 E0/10 接口为 Trunk 接口，并启用 GVRP 协议。 port link-type trunk port trunk permit vlan 2 to 3 gvrp registration fixed gvrp interface Ethernet0/24 #划分接口到 VLAN port access vlan 24 SW2: gvrp#启用 GVRP 协议，接收 SW1 配置的 VLAN interface Ethernet0/1 #给 VLAN 划接口 port access vlan 3 interface Ethernet0/10 #配置和 SW1 相连的 Trunk 口，并启用 GVRP port link-type trunk port trunk permit vlan 1 to 3 gvrp 3、3 层交换+VLAN+路由器+静态路由： 1)此例为内网采用静态路由配置，也是常见并推荐采用的配置。 RA: ip route-static 172.16.0.0 255.255.255.0 10.0.0.2 preference 60 #这 2 句指向内网 2 个 VLAN 网 段即是回指路由。 ip route-static 172.16.1.0 255.255.255.0 10.0.0.2 preference 60 SW1: ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60 #配置静态缺省路由，指向 RA. 4、3 层交换+VLAN+路由器+动态路由（RIP V2）： 1）此例为动态路由配置，考虑到子网划分，采用 RIP V2 路由协议。不过针对于如此简单的 拓扑，不推荐用动态路由协议。从下例可以看到，其实对于一个简单的网络。动态路由协议 比静态路由更麻烦。 RA: interface Ethernet0/0 rip version 2 multicast #配置 RIP 版本 2 interface Serial0/0 undo rip output #这 2 句是配置 S0/0 为 RIP 被动接口。 undo rip input rip #配置 RIP 协议 import-route static cost 2 #重发布静态路由 0.0.0.0 给 SW1，让 SW1 知道缺省出口。 network 10.0.0.0 SW1: interface Vlan-interface24 rip version 2 multicast #配置 RIP 版本 2 rip#RIP 配置 undo summary #关闭自动汇总，这样 RA 就能够知道网络 172.16.0.0 的具体子网了。 network 10.0.0.0 network 172.16.0.0 5、单臂路由配置： 1）此例用于不支持 3 层交换的 2 层交换机使用。由于路由器的转发速率大大低于 3 层交换 机的转发速率，因此如果有 3 层交换机，尽量不要采用此配置。 RA: interface e0/0 undo ip address #此时 E0/0 接口原来的 10.0.0.0/30 段的 IP 已经无用了，可以去掉了。 interface Ethernet0/0.2#配置 VLAN2 的子接口 ip address 172.16.0.254 255.255.255.0 vlan-type dot1q vid 2 # interface Ethernet0/0.3#配置 VLAN3 的子接口 ip address 172.16.1.254 255.255.255.0 vlan-type dot1q vid 3 acl number 2000 undo rule 2 #此时 ACL 2000 的 rule 2 也没用了，可以去掉了。 quit SW1: undo vlan 24 #此时的 VLAN24 已经没用了，去掉它。 interface Ethernet0/24 #配置 E0/24 口为 Trunk 口，此口用于连接 RA，做单臂路由。 port link-type trunk port trunk permit vlan 2 to 3 6、补充配置： 1）对于控制系统的安全，以及其他配置等，请参考其他资料。尽量建议在路由器上配置。 交换机配置过多的 ACL 是要影响转发性能的。 2）如果 PC 间无需通信，可以考虑配置 PVLAN 来进行隔了。这样可以有效的控制病毒的 传播。