详解:VLAN+路由器典型配置实例近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网，其实这是个比较简单，也比较典型的配置。

网上也很容易找到，但都不系统很零散。

这里针对几种常见的情况，分别做了配置：1、拓扑结构图：1）本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能，SW2为华为 2403H-EI二层交换机。

2）图模拟了常见的拓扑结构。

也没有用到任何厂商特性，因此也适用于其他厂商的设备，只是命令行有所不同。

2、基础配置：ISP:interface Serial0/0 #配置和RA相连的接口clock DTECLK1link-protocol pppip address 10.0.1.1 255.255.255.252interface LoopBack0 #配置该接口模拟 internet 的一个 IP。

ip address 1.1.1.1 255.255.255.255ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA，也即分配地址池给 RA。

RA:nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池，也即ISP分配的地址段。

（如果外网接口类型为广播，则最好把这些地址配置给LOOPBACK接口，否则可能不同，但此例是点对点接口，无此问题）acl number 2000 #配置NA T 用的ACL列表rule 0 permit source 172.16.0.0 0.0.0.255rule 1 permit source 172.16.1.0 0.0.0.255rule 2 permit source 10.0.0.0 0.0.0.3interface Ethernet0/0 #配置内网口ip address 10.0.0.1 255.255.255.252interface Serial0/0 #配置外网口link-protocol pppip address 10.0.1.2 255.255.255.252nat outbound 2000 address-group 0 #做NA T，采用先前配置的地址池。

ip route-static 0.0.0.0 0.0.0.0 10.0.1.1 preference 60 配置默认路由SW1:gvrp #启用GVRP 注册协议，用于动态创建SW2的VLAN，实现VLAN 的集中管理。

vlan 2 #创建各VLANvlan 3vlan 24#因为S3526 不支持被路由接口，因此将E0/24 划到VLAN24，给VLAN24 配置虚接口IP用于路由。

（cisco 则可以在e0/24接口用no switchport 配置为被路由接口，直接配置IP即可）interface Vlan-interface2 #配置VLAN 虚接口IPip address 172.16.0.254 255.255.255.0interface Vlan-interface3 配置VLAN 虚接口IPip address 172.16.1.254 255.255.255.0interface Vlan-interface24 配置VLAN 虚接口IPip address 10.0.0.2 255.255.255.252interface Ethernet0/1 #划分接口到VLANport access vlan 2interface Ethernet0/10 #配置和SW2 互联的E0/10接口为Trunk 接口，并启用GVRP协议。

port link-type trunkport trunk permit vlan 2 to 3gvrp registration fixedgvrpinterface Ethernet0/24 #划分接口到VLANport access vlan 24SW2:gvrp#启用GVRP 协议，接收SW1 配置的VLANinterface Ethernet0/1 #给VLAN划接口port access vlan 3interface Ethernet0/10 #配置和SW1 相连的Trunk口，并启用GVRPport link-type trunkport trunk permit vlan 1 to 3gvrp3、3层交换+VLAN+路由器+静态路由：1)此例为内网采用静态路由配置，也是常见并推荐采用的配置。

RA:ip route-static 172.16.0.0 255.255.255.0 10.0.0.2 preference 60 #这2句指向内网2个VLAN网段即是回指路由。

ip route-static 172.16.1.0 255.255.255.0 10.0.0.2 preference 60SW1:ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60 #配置静态缺省路由，指向RA.4、3 层交换+VLAN+路由器+动态路由（RIP V2）：1）此例为动态路由配置，考虑到子网划分，采用RIP V2 路由协议。

不过针对于如此简单的拓扑，不推荐用动态路由协议。

从下例可以看到，其实对于一个简单的网络。

动态路由协议比静态路由更麻烦。

RA:interface Ethernet0/0rip version 2 multicast #配置RIP版本2interface Serial0/0undo rip output #这2 句是配置S0/0 为RIP被动接口。

undo rip inputrip #配置RIP协议import-route static cost 2 #重发布静态路由0.0.0.0 给SW1，让SW1 知道缺省出口。

network 10.0.0.0SW1:interface Vlan-interface24rip version 2 multicast #配置RIP 版本2rip#RIP 配置undo summary #关闭自动汇总，这样RA就能够知道网络172.16.0.0 的具体子网了。

network 10.0.0.0network 172.16.0.05、单臂路由配置：1）此例用于不支持3 层交换的2 层交换机使用。

由于路由器的转发速率大大低于3 层交换机的转发速率，因此如果有 3 层交换机，尽量不要采用此配置。

RA:interface e0/0undo ip address #此时E0/0 接口原来的10.0.0.0/30 段的IP已经无用了，可以去掉了。

interface Ethernet0/0.2#配置VLAN2 的子接口ip address 172.16.0.254 255.255.255.0vlan-type dot1q vid 2#interface Ethernet0/0.3#配置VLAN3 的子接口ip address 172.16.1.254 255.255.255.0vlan-type dot1q vid 3acl number 2000undo rule 2 #此时ACL 2000的rule 2也没用了，可以去掉了。

quitSW1:undo vlan 24 #此时的VLAN24 已经没用了，去掉它。

interface Ethernet0/24 #配置E0/24 口为Trunk口，此口用于连接RA，做单臂路由。

port link-type trunkport trunk permit vlan 2 to 36、补充配置：1）对于控制系统的安全，以及其他配置等，请参考其他资料。

尽量建议在路由器上配置。

交换机配置过多的ACL是要影响转发性能的。

2）如果PC 间无需通信，可以考虑配置PVLAN 来进行隔了。

这样可以有效的控制病毒的传播。

PVLANPVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port 通信，也可以与pVLAN中的promiscuous端口通信。

（每个pVLAN可以有多个community VLAN）isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promisuous端口通信。

（每个pVLAN中只能有一个isolated VLAN）pVLAN当中使用的一些规则：1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。

2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。