二层交换机与路由器VLAN互通上网配置实战

张开发
2026/4/14 14:29:15 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

二层交换机与路由器VLAN互通上网配置实战
1. 为什么需要VLAN互通上网想象一下你在一栋写字楼里办公市场部、技术部和财务部都在同一层楼。如果所有电脑都接在同一个网络里财务部的敏感数据可能会被其他部门的人不小心看到网络广播风暴也会影响所有人的网速。这时候VLAN技术就像给每个部门单独划分了虚拟的办公区域既保证了安全又提升了效率。我在给某中小企业部署网络时就遇到过这种情况。最初他们所有设备都在同一个广播域结果打印机经常被误操作销售部的大文件传输还会导致视频会议卡顿。后来通过划分VLAN把不同部门隔离开再通过路由器实现跨VLAN通信问题迎刃而解。VLAN间通信的关键在于路由器。二层交换机就像只会看门牌号MAC地址的邮递员而路由器才是能看懂地图IP路由的导航专家。当PC1VLAN2想访问PC2VLAN3时数据包必须经过路由器的中转站。2. 设备选型与基础配置2.1 硬件准备清单根据我的踩坑经验建议选择这些设备二层交换机华为S5700系列支持802.1Q协议路由器华为AR2200系列支持子接口终结网线超五类以上实测六类线在千兆环境下更稳定注意确保交换机有光口或电口与路由器匹配我就曾因买错SFP模块耽误过项目进度2.2 初始化配置先给设备做个自我介绍# 交换机基础配置 Huawei system-view [Huawei] sysname LSW1 [LSW1] undo info-center enable # 关闭烦人的日志提示 # 路由器基础配置 Huawei system-view [Huawei] sysname R1 [R1] undo info-center enable重要安全设置新手常忽略[LSW1] user-interface console 0 [LSW1-ui-console0] idle-timeout 15 # 控制台超时锁定 [LSW1-ui-console0] authentication-mode password3. 交换机VLAN与Trunk配置3.1 VLAN划分实战假设我们要创建市场部VLAN10和研发部VLAN20[LSW1] vlan batch 10 20 # 批量创建VLAN # 连接PC的接口配置 [LSW1] interface GigabitEthernet0/0/1 [LSW1-GigabitEthernet0/0/1] port link-type access # 设为接入模式 [LSW1-GigabitEthernet0/0/1] port default vlan 10 # 划入VLAN10 [LSW1-GigabitEthernet0/0/1] quit [LSW1] interface GigabitEthernet0/0/2 [LSW1-GigabitEthernet0/0/2] port link-type access [LSW1-GigabitEthernet0/0/2] port default vlan 20 [LSW1-GigabitEthernet0/0/2] quit3.2 Trunk端口配置技巧连接路由器的接口要配置为Trunk模式相当于建立多车道高速公路[LSW1] interface GigabitEthernet0/0/24 # 通常用最后一个端口 [LSW1-GigabitEthernet0/0/24] port link-type trunk [LSW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 # 放行指定VLAN [LSW1-GigabitEthernet0/0/24] port trunk pvid vlan 1 # 默认VLAN实测发现如果忘记配置port trunk pvid可能导致CDP等协议通信异常4. 路由器子接口终结配置4.1 单臂路由实现路由器通过一个物理接口处理多个VLAN流量就像快递分拣中心[R1] interface GigabitEthernet0/0/0.10 # 创建子接口 [R1-GigabitEthernet0/0/0.10] dot1q termination vid 10 # 识别VLAN10标签 [R1-GigabitEthernet0/0/0.10] ip address 192.168.10.1 24 [R1-GigabitEthernet0/0/0.10] arp broadcast enable # 必须开启ARP广播 [R1-GigabitEthernet0/0/0.10] quit [R1] interface GigabitEthernet0/0/0.20 [R1-GigabitEthernet0/0/0.20] dot1q termination vid 20 [R1-GigabitEthernet0/0/0.20] ip address 192.168.20.1 24 [R1-GigabitEthernet0/0/0.20] arp broadcast enable4.2 DHCP服务配置给每个VLAN分配IP地址就像发门牌号[R1] dhcp enable [R1] interface GigabitEthernet0/0/0.10 [R1-GigabitEthernet0/0/0.10] dhcp select interface # 接口地址池模式 [R1-GigabitEthernet0/0/0.10] dhcp server dns-list 114.114.114.114 [R1-GigabitEthernet0/0/0.10] quit [R1] interface GigabitEthernet0/0/0.20 [R1-GigabitEthernet0/0/0.20] dhcp select interface [R1-GigabitEthernet0/0/0.20] dhcp server excluded-ip-address 192.168.20.1 # 保留网关IP5. 上网与NAT配置5.1 外网接口配置假设路由器通过G0/0/1连接光猫[R1] interface GigabitEthernet0/0/1 [R1-GigabitEthernet0/0/1] ip address 202.96.128.86 29 # 运营商提供的地址 [R1-GigabitEthernet0/0/1] nat outbound # 开启NAT [R1-GigabitEthernet0/0/1] quit5.2 路由与ACL配置配置默认路由和NAT规则[R1] ip route-static 0.0.0.0 0 202.96.128.85 # 默认网关 [R1] acl number 2000 [R1-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255 [R1-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255 [R1-acl-basic-2000] quit [R1] interface GigabitEthernet0/0/1 [R1-GigabitEthernet0/0/1] nat outbound 2000 # 应用ACL6. 常见故障排查6.1 VLAN间无法通信先检查三件套物理连接用display interface brief查看端口状态VLAN配置display vlan确认VLAN划分正确Trunk放行display port vlan检查是否允许目标VLAN通过6.2 无法获取DHCP地址典型排查流程# 在PC端手动指定IP后测试网关连通性 ping 192.168.10.1 # 在路由器查看DHCP地址池 display dhcp server statistics # 检查ARP表项 display arp all有次客户反映WiFi连不上最后发现是VLAN配置被实习生误删了。现在我都习惯用save configuration.cfg定期备份配置。

更多文章