AR2220 加S5700 聯(lián)通外網(wǎng)的例子,在S5700 下劃分了三個vlan,vlan100 連接路由器,別的兩個vlan 都可以訪問外網(wǎng),vlan 之間默認是互通的,就是把VLAN、靜態(tài)路由、默認路由、NAT、ACL 綜合了一下,遇到類似案例的朋友可以進行參考。
交換機配置
(1)VLAN 劃分與接口加入
(2)VLAN 接口定義
(3)默認路由
(4)DHCP 配置
VLAN 配置與接口加入
[Huawei]vlan batch 2 4 6 8 100
[Huawei]interface giga 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 100
[Huawei]interface giga 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 2
[Huawei-GigabitEthernet0/0/3]
說明:由于5700 是不支持切換三層接口配置IP 地址的,所以只能以VLAN 接口的形式來連接路由器,VLAN 100 為連接路由器,而其余VLAN 則為接入用戶的,這里只演示了VLAN 2。
VLAN 接口配置
[Huawei]interface vlanif 100
[Huawei-Vlanif100]ip address 1.1.1.2 255.255.255.0
[Huawei]interface vlanif 2
[Huawei-Vlanif2]ip address 192.168.2.1 255.255.255.0
說明:這里只創(chuàng)建了連接路由器的VLAN 接口以及接入VLAN2 的,其余的VLAN 接口配置類似。
默認路由配置
[Huawei]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
說明:因為5700 去往外網(wǎng)的數(shù)據(jù)包都交給路由器,所以只需要配置一條默認路由即可,其余內(nèi)網(wǎng)訪問都是通過本地路由表交換即可。
DHCP 配置(基于接口)
[Huawei]dhcp enable
[Huawei]int vlan 2
[Huawei-Vlanif2]dhcp select interface
[Huawei-Vlanif2]dhcp server DNS-list 114.114.114.114
說明:這里以VLAN2 下面的用戶舉例,其余的參數(shù)比如租期option 都在server 后面跟具體關(guān)鍵字即可。另外有的網(wǎng)絡(luò)可能下面下接二層交換機,那么二層交換機與三層交換機之間的鏈路則配置為trunk,允許需要的VLAN 流量通過,記住華為的默認只允許VLAN 1
路由器配置
(1)靜態(tài)/默認路由配置
(2)NAT 配置
[Huawei]interface giga 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.3 255.255.255.0
[Huawei]interface giga 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 1.1.1.1 255.255.255.0
靜態(tài)與默認路由配置
[Huawei]ip route-static 192.168.0.0 255.255.0.0 1.1.1.2
[Huawei]ip route-static 0.0.0.0 0 192.168.1.111 (實際環(huán)境為ISP 的下一跳或者PPPOE 撥號接口)
說明:默認路由是為了去往訪問公網(wǎng)的流量進行轉(zhuǎn)發(fā),而流量回來后需要知道怎么去往192.168.X.X 這個網(wǎng)絡(luò),保證能夠正常的把數(shù)據(jù)包返回。
NAT 配置與ACL
[Huawei]acl number 2000
[Huawei-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.255.255
[Huawei]interface giga 0/0/0
[Huawei-GigabitEthernet0/0/0] nat outbound 2000
說明:這里是允許ACL 2000 內(nèi)匹配的流量進行NAT 源轉(zhuǎn)換,用G0/0/0 下的地址,保證能夠訪問公網(wǎng)。
優(yōu)化下接用戶的接口,可以選擇把STP 關(guān)閉或者是開啟邊緣端口,加快STP 的收斂,不影響DHCP 地址的獲取
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]stp disable
或者
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]stp edged-port enable
