三层交换机设置vlan出口（分支篇之底层互通）

有朋友说拓扑模糊，这里更新清晰拓扑，大家可以双击看

1 分支机构部署与部署思路

说明可以看到分支的机构非常简单，典型的小企业或者分支的机构，一台出口路由器，下接三层交换机，然后在连接二层交换机。有的甚至，没有三层交换机，直接是路由器 二层交换机。

1、采用之前定义的IP地址表项与VLAN与接口划分进行配置2、配置路由，或者采用单臂路由两种方式3、路由器配置VPN，实现财务部互访，并且AP能够正常关联到总部的AC上面。

2 具体实施

1、采用之前定义的IP地址表项与VLAN进行配置

说明：跟总部一样，在每个交换机与路由器上面定义好IP地址，然后进行VLAN与接口的划分。

1.1、二层交换机VLAN划分与接口模式部署说明：这里有A、B两台二层交换机，每个交换机上面部署2个VLAN，A交换机用来跑无线与业务部的流量，而B交换机则跑管理层与财务部的流量，然后与上行三层交换机连接即可，所以我们需要做的是在A交换机上面部署对应的VLAN，然后把除了上行链路接口以外的流量，都加入到对应的VLAN中，其中上行链路为Trunk，允许需要穿越的流量通过，而接入用户的接口则为Access，加入到对应VLAN，连接AP的接口比较特殊，因为有管理VLAN与业务VLAN存在，所以可以是Hybrid端口，或者是Trunk。A交换机VLAN划分以及接口划入配置[Branch-sw-A]vlan 2[Branch-sw-A-vlan2]name market

[Branch-sw-A]vlan 3[Branch-sw-A-vlan3]name Wireless说明：定义2个VLAN，并且定义了name说明干什么用的

[Branch-sw-A]int e0/4/6[Branch-sw-A-Ethernet0/4/6]description to-Core-SW e0/4/6[Branch-sw-A-Ethernet0/4/6]port link-type trunk[Branch-sw-A-Ethernet0/4/6]port trunk permit vlan 2 to 3说明：该接口为Trunk，是连接上行三层交换机，允许了现有的VLAN通过，VLAN 2与VLAN 3

[Branch-sw-A]int e0/4/2[Branch-sw-A-Ethernet0/4/2]description connection to AP[Branch-sw-A-Ethernet0/4/2]port link-type hybrid[Branch-sw-A-Ethernet0/4/2]port hybrid vlan 3 tagged说明：该接口定义为Hybrid，并且VLAN 3的打Tag，因为我们会定义VLAN 3为业务VLAN，而VLAN 1作为管理VLAN存在。默认情况下VLAN 1是不打Tag的。

[Branch-sw-A]port-group manual 1[Branch-sw-A-port-group-manual-1]group-member Ethernet 0/4/0 to e0/4/1[Branch-sw-A-port-group-manual-1]group-member Ethernet 0/4/3 to e0/4/5[Branch-sw-A-port-group-manual-1]port access vlan 2说明：定义了一个端口组，然后把其余的接口加入到该组中，然后加入到VLAN 2中，注意H3C的接口默认为Access的，不跟华为一样为Hybrid接口。

B交换机VLAN划分以及接口划入配置[Branch-sw-B]vlan 4[Branch-sw-B-vlan4]name caiwu

[Branch-sw-B-vlan4]vlan 5[Branch-sw-B-vlan5]name jingli

[Branch-sw-B]int Ethernet 0/4/7[Branch-sw-B-Ethernet0/4/7]description to-Core-SW e0/4/7[Branch-sw-B-Ethernet0/4/7]port link-type trunk[Branch-sw-B-Ethernet0/4/7]port trunk permit vlan 4 to 5

[Branch-sw-B]port-group manual 1[Branch-sw-B-port-group-manual-1]group-member Ethernet 0/4/0 to Ethernet 0/4/4[Branch-sw-B-port-group-manual-2]port access vlan 4

[Branch-sw-B]port-group manual 2[Branch-sw-B-port-group-manual-2]group-member Ethernet 0/4/5 to e0/4/6[Branch-sw-B-port-group-manual-2]port access vlan 5说明：B交换机与A的一样，划分VLAN，然后把对应的VLAN加入到接口中。

三层交换机VLAN创建与接口划分[Core-sw]vlan 2 to 5

[Core-sw]int e0/4/6[Core-sw-Ethernet0/4/6]port link-type trunk[Core-sw-Ethernet0/4/6]port trunk permit vlan 2 to 3

[Core-sw]interface e0/4/7[Core-sw-Ethernet0/4/7]port link-type trunk[Core-sw-Ethernet0/4/7]port trunk permit vlan 4 to 5说明：在核心交换机上面创建对应的VLAN，然后接口都为Trunk模式，允许对应的VLAN通过即可。

三层交换机IP地址与DHCP定义说明：三层交换机上面需要部署5个VLAN的地址，一个管理的给AP分配地址，与DHCP Option 43，而其他4个VLAN地址对应下面4个VLAN，给它们分配地址。

[Core-sw]dhcp enable

[Core-sw]dhcp server ip-pool vlan1[Core-sw-dhcp-pool-vlan1]network 192.168.1.0 24[Core-sw-dhcp-pool-vlan1]option 43 hex 80 07 00 00 01 c0 A8 01 FB[Core-sw-dhcp-pool-vlan1]gateway-list 192.168.1.254[Core-sw-dhcp-pool-vlan1]dns-list 8.8.8.8

[Core-sw]dhcp server ip-pool vlan2[Core-sw-dhcp-pool-vlan2]network 172.16.2.0 24[Core-sw-dhcp-pool-vlan2]dns-list 8.8.8.8[Core-sw-dhcp-pool-vlan2]gateway-list 172.168.2.254

[Core-sw]dhcp server ip-pool vlan3[Core-sw-dhcp-pool-vlan3]network 172.16.3.0 24[Core-sw-dhcp-pool-vlan3]dns-list 8.8.8.8[Core-sw-dhcp-pool-vlan3]gateway-list 172.168.3.254

[Core-sw]dhcp server ip-pool vlan4[Core-sw-dhcp-pool-vlan4]network 172.16.4.0 24[Core-sw-dhcp-pool-vlan4]dns-list 8.8.8.8[Core-sw-dhcp-pool-vlan4]gateway-list 172.16.4.254

[Core-sw]dhcp server ip-pool vlan5[Core-sw-dhcp-pool-vlan5]network 172.16.5.0 24[Core-sw-dhcp-pool-vlan5]gateway-list 172.16.5.254[Core-sw-dhcp-pool-vlan5]dns-list 8.8.8.8说明：定义了5个VLAN的地址池，每个VLAN都分配对应的网段与DNS、网关参数，注意VLAN 1是给AP分配的，所以这里AP必须有Option 43，注册到总部的AC上面，后续通过VPN。

[Core-sw]dhcp server forbidden-ip 172.16.1.254[Core-sw]dhcp server forbidden-ip 172.16.2.254[Core-sw]dhcp server forbidden-ip 172.16.3.254[Core-sw]dhcp server forbidden-ip 172.16.4.254[Core-sw]dhcp server forbidden-ip 172.16.5.254说明：排除掉网关用的地址。

[Core-sw]int vlan 1[Core-sw-Vlan-interface1]ip address 172.16.1.254 24[Core-sw-Vlan-interface1]dhcp select server global-pool

[Core-sw]interface vlan 2[Core-sw-Vlan-interface2]ip address 172.16.2.254 24[Core-sw-Vlan-interface2]dhcp select server global-pool

[Core-sw]interface vlan 3[Core-sw-Vlan-interface3]ip address 172.16.3.254 24[Core-sw-Vlan-interface3]dhcp select server global-pool

[Core-sw]interface Vlan-interface 4[Core-sw-Vlan-interface4]ip address 172.16.4.254 24[Core-sw-Vlan-interface4]dhcp select server global-pool

[Core-sw]interface Vlan-interface 5[Core-sw-Vlan-interface5]ip address 172.16.5.254 24[Core-sw-Vlan-interface5]dhcp select server global-pool

[GW]interface g0/0/2[GW-GigabitEthernet0/0/2]ip address 172.16.1.253 24结果测试，能否拿到地址

说明：已经分配到了地址，而且也可以Ping通网关。

2、配置路由

说明：这里需要配置三层交换机的路由与出口路由器的路由，这里三层交换机只需要一条默认路由直接出口路由器即可，因为它内部网络都可以经过三层交换机转发，而公网的都是要经过出口路由器，所以只需要把默认路由指向出口路由器即可。而出口路由器，除了有一条默认指向ISP的路由以外，还需要知道内部的明细路由，这样才能把数据包正确的回复给内部网络。三层交换机路由[Core-sw]ip route-static 0.0.0.0 0 172.16..1.253说明：三层交换机只需要默认路由指向出口路由器即可

出口路由器[GW]ip route-static 172.16.2.0 24 172.16.1.254[GW]ip route-static 172.16.3.0 24 172.16.1.254[GW]ip route-static 172.16.4.0 24 172.16.1.254[GW]ip route-static 172.16.5.0 24 172.16.1.254说明：直接去往2.0、3.0、4.0、5.0的路由都交给1.254，也就是三层交换机即可

给ISP的路由这里由于是PPPOE拨号实现的，所以不能确定下一跳，只能指向拨号接口。

PPPOE拨号定义[GW]dialer-rule 1 ip permit[GW]interface Dialer 1[GW-Dialer1]dialer user ccieh3c[GW-Dialer1]dialer-group 1[GW-Dialer1]dialer bundle 1[GW-Dialer1]ip address ppp-negotiate[GW-Dialer1]ppp pap local-user ccieh3c password simple ccieh3c.taobao.com[GW-Dialer1]mtu 1460[GW-Dialer1]tcp mss 1400[GW]int g0/0/0[GW-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1说明定义了一个PPPOE拨号，实际环境中以ISP给的用户名与密码为准。

检查结果

可以看到已经正常获取地址了。

部署默认路由指向ISP[GW]ip route-static 0.0.0.0 0 Dialer 1

NAT部署[GW]acl number 3005[GW-acl-adv-3005]rule 20 permit ip source any

[GW]int Dialer 1[GW-Dialer1]nat outbound 3005

3 如果是早期的部署方案【单臂路由，少数企业在用】

这里直接启用子接口即可，比如子接口为2，VLAN封装也为2，这样方便区分，然后配置IP地址即可。另外的是，交换机只需要部署为Trunk即可。

,