路由器是现代生活必不可少的网络设备，在家庭、办公室还是公共场所都离不开它。在使用路由器的过程中，我们经常会遇到干货！小型网络组网模型讲解（华为路由器+三层交换机） 等问题。为了更好地解决这些问题，本文将为大家介绍相关知识和使用技巧

说明

AR2220加S5700联通外网的例子,在S5700下划分了三个vlan,vlan100连接路由器,别的两个vlan都可以访问外网,vlan之间默认是互通的，就是把VLAN、静态路由、默认路由、NAT、ACL综合了一下，适合初学者，也适合小型网络的搭建，遇到类似的朋友可以进行参考。

掌握目标

一、交换机配置
（1）VLAN划分与接口加入
（2）VLAN接口定义
（3）默认路由
（4）DHCP配置

二、路由器配置
（1）静态/默认路由配置
（2）NAT配置

拓扑

1、三层交换机配置

[HW-SW]vlan batch 2 100

[HW-SW]int g0/0/3
[HW-SW-GigabitEthernet0/0/3]port link-type access
[HW-SW-GigabitEthernet0/0/3]port default vlan 2

[HW-SW]int g0/0/1
[HW-SW-GigabitEthernet0/0/1]port link-type access
[HW-SW-GigabitEthernet0/0/1]port default vlan 100
说明：默认的情况下，G0/0/1输入VLAN 1，所以不需要修改，而G0/0/3则连接出口路由器的接口，划入到对应的VLAN 100。

[HW-SW]int Vlanif 1
[HW-SW-Vlanif1]ip address 192.168.0.254 24

[HW-SW]int Vlanif 2
[HW-SW-Vlanif2]ip address 192.168.2.254 24

[HW-SW]int vlan 100
[HW-SW-Vlanif100]ip address 1.1.1.2 24

[HW-SW]dhcp enable

[HW-SW]int vlan 1
[HW-SW-Vlanif1]dhcp select interface
[HW-SW-Vlanif1]
[HW-SW-Vlanif1]dhcp server dns-list 114.114.114.114
[HW-SW-Vlanif1]dhcp server domain-name ccieh3c.taobao.com

[HW-SW]int vlan 2
[HW-SW-Vlanif2]dhcp select interface
[HW-SW-Vlanif2]dhcp server dns-list 114.114.114.114
[HW-SW-Vlanif2]dhcp server domain-name ccieh3c.taobao.com

[HW-SW]ip route-static 0.0.0.0 0 1.1.1.1

说明：接入客户的交换机配置内容其实很简单（1）配置VLAN，并且让接口输入该VLAN，这样PC发送的流量就只发送到该VLAN内处理。 （2）每个VLAN的VLANIF接口配置，它们主要作为三层网关的通信，每个VLAN一个子网，每个子网有一个网关，PC上面定义的网关就是为VLANIF接口 （3）DHCP服务，如果客户端比较多，手动配置地址很麻烦，所以这里采用DHCP动态分配地址，DNS、域名等参数 （4）默认路由，由于PC最终需要访问其他网络或者外网，它们会把数据包发给三层交换机处理，交换机必须把数据包交给网关，而且出口只有一个，所以用默认路由来匹配是最合适的。

想系统的学习DHCP，可以看 DHCP原理及在企业中的应用

2、出口路由器配置

[HW-GW]int g0/0/0
[HW-GW-GigabitEthernet0/0/0]ip address 1.1.1.1 24

[HW-GW]int g0/0/1
[HW-GW-GigabitEthernet0/0/1]ip address 192.168.1.150 24

[HW-GW]ip route-static 192.168.0.0 24 1.1.1.2
[HW-GW]ip route-static 192.168.2.0 24 1.1.1.2

[HW-GW]ip route-static 0.0.0.0 0 192.168.1.254
说明：前面2条是做回程路由，当数据包从网关返回的时候，知道发给哪个设备。第三条路由则是访问外网的时候全部发往外网设备。

定义ACL，匹配内网网段，做NAT转换
[HW-GW]acl number 3000
[HW-GW-acl-adv-3000]rule permit ip source 192.168.0.0 0.0.0.255
[HW-GW-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255

外网口配置easy-ip，关联ACL 3000
[HW-GW]int g0/0/1
[HW-GW-GigabitEthernet0/0/1]nat outbound 3000
说明：作用就是当匹配了ACL 3000里面的rule的时候，可以把源地址转换成出接口地址访问internet。

三、验证

（1）VLAN 1的用户测试

可以看到VLAN 1的PC已经获取到了IP，并且网关跟DNS都有，访问114.114.114.114也访问了，而且NAT有转换项。
（2）VLAN 2的用户测试

同样访问木有问题。

（3）VLAN 1与VLAN 2之间的用户互访

策略限制

如果要限制VLAN 1 VLAN 2的用户 可以通过端口隔离技术实现，是限制VLAN 1 VLAN2的部分用户之间不能互访，则必须通过ACL。

~通过了解这些技巧和建议，您可以更好地控制和优化您的网络连接，从而获得更快的速度和更安全的连接。