华为路由器与三层交换机设备互联的问题

2024-10-30 12:46:35
推荐回答(2个)
回答1:

怎么配置才能使VLAN1、2、3通过路由器连internet
在三层交换机上设置路由 ip rou 0.0.0.0 0.0.0.0 192.168.1.1
而在路由上设置回指路由 ip rou 192.168.2.0 255.255.255.0 192.168.1.2
ip rou 192.168.3.0 255.255.255.0 192.168.1.2
而vlan4和5没有做回来的数据路,本身跟路由器的外网口就是不通的,所以就上不了网了。
上网是需要做nat的。定义一个acl num 2000
rule per source 192.168.0.0 0.0.255.255
然后在外网口nat out 2000 就可以上网了。
在有一种方法就是:
在路由器上 ip rou 192.168.0.0 255.255.0.0 192.168.1.2 这时网络上全通的,但是上网的规则是用nat来定义的。
acl num 2000
rule 1 per sou 192.168.1.0 0.0.0.255
rule 2 per sou 192.168.2.0 0.0.0.255
rule 3 per sou 192.168.3.0 0.0.0.255
不定义rule上网规则相应的vlan就上不去网。
而vlan之间的互访问题是在交换上做的,你起了三层接口默认所有vlan就是全通的了。
而不让互访的话,也是需要在acl的。而这个acl是高级的 也就是3000以上的,可以定义源地址和目的地址。
只要定义不让互访的vlan规则就可以了。
如下:原来做的。
#
acl number 3010
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 1 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 2 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule 3 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
rule 4 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.60.0 0.0.0.255
#
interface Ethernet1/0/1
port access vlan 10
packet-filter inbound ip-group 3010 rule 0
packet-filter inbound ip-group 3010 rule 1
packet-filter inbound ip-group 3010 rule 2
packet-filter inbound ip-group 3010 rule 3
packet-filter inbound ip-group 3010 rule 4
#
而acl的下发也是有说道的,有的交换机不支持在vlan接口下下发,只支持在端口下下发。
具体可以查看对应交换机的操作手册,而你的模拟器有些命令是用不了的,模拟器的命令是v3的。现在一般都是v5版本的了。

回答2:

这是目前中小企业中最典型的网络配置结构。

1、在交换机上配置一条默认路由,到路由器;再在路由器上配置几条回程路由,包括2,3,4,5网段的,也可以采用路由汇聚,写一条16位掩码的。1网段就不要用,专作互联网段。
2、给要上网的几个段,在路由器上作nat,像vlan4这种不让其上网,不给其作nat就可以了。
3, 现在交换机上作访问列表,写上允许访问的规则和不允许访问的规定,再应用到各个端口就行了。

是不是很简单?