园区网核心交换机与出口路由器如何配置才能通信？

能改的，叫做缺点，不能改的，叫做弱点。

文章目录

简单概述
拓扑
实验IP地址
基本配置
简单测试

简单概述

了解路由器网关，比如路由器网关连接核心交换机设备的端口用的是接口还是子接口？如果路由器网关用的是接口连接核心交换机，那么核心交换机的接口需要配置为access端口类型；如果路由器网关用的是子接口连接核心交换机的话，那么核心交换机连接路由器网关的接口需要配置为trunk端口类型。路由器网关的接口是否配置了NAT？如果配置了NAT，ACL是否抓取相关的数据，需要放行相关的业务数据（锐捷ACL隐式默认拒绝，华为ACL默认为允许）？是否过滤的相关的路由？是否做了相关内网业务的回指路由？比如是有线无线业务的回指路由。

首先路由器需要配置基本的公网IP地址，公网口NAT的配置，写默认路由指向下一跳公网IP地址，或者是运行相关的路由协议。
其次路由器要和核心有一个互联IP地址，一般掩码为/30，核心上写一条默认路由指向出口路由器网关，出口路由器针对内网的网段写相关业务的回指路由，下一跳指向核心交换机连接网关路由器的IP地址。

拓扑

实验IP地址

实验IP地址如表所示：

设备	接口	IP	掩码	备注
ISP	Loopback 0	114.114.114.114	32
	G0/0/0	10.1.12.1	30
AR1	G0/0/0	10.1.12.2	30
	G0/0/1；G0/0/1.1	10.1.100.1	30
LSW1	VLAN 100	10.1.100.2	30
	VLAN 20	192.168.20.254	24	VLAN 20的网关
	VLAN 10	192.168.10.254	24	VLAN 10的网关

基本配置

AR1

路由器网关连接核心交换机设备的端口用的是接口，那么核心交换机的连接网关的接口需要配置为access端口类型。

<AR1>dis cusysname AR1
#lldp enable
#
interface GigabitEthernet0/0/0ip address 10.1.12.2 255.255.255.252
#
interface GigabitEthernet0/0/1ip address 10.1.100.1 255.255.255.252
#
ip route-static 114.114.114.114 255.255.255.255 10.1.12.1
ip route-static 192.168.10.0 255.255.255.0 10.1.100.2
ip route-static 192.168.20.0 255.255.255.0 10.1.100.2

<LSW1>dis cu
#
sysname LSW1
#
vlan batch 10 20 100
#
lldp enable
#
dhcp enable
#
ip pool 10gateway-list 192.168.10.254network 192.168.10.0 mask 255.255.255.0dns-list 114.114.114.114
#
ip pool 20gateway-list 192.168.20.254network 192.168.20.0 mask 255.255.255.0dns-list 114.114.114.114
#
interface Vlanif1
#
interface Vlanif10ip address 192.168.10.254 255.255.255.0dhcp select global
#
interface Vlanif20ip address 192.168.20.254 255.255.255.0dhcp select global
#
interface Vlanif100ip address 10.1.100.2 255.255.255.252
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1port link-type accessport default vlan 100
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 2 to 4094
#
ip route-static 0.0.0.0 0.0.0.0 10.1.100.1

LSW2

<LSW2>dis cu
#
sysname LSW2
#
vlan batch 20
#
lldp enable
#
dhcp enable
#
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 20

LSW3与LSW2配置类似

PC1自动获取IP地址
ipconfig

简单测试

PC1 PING测试114.114.114.114

由输出结果得知，部门A能访问公网

路由器网关连接核心交换机设备的端口用的是子接口，如果核心交换机的连接网关的接口需要配置为access端口类型，数据能否互通？

AR1

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo ip address
[AR1-GigabitEthernet0/0/0.1]quit
[AR1]interface GigabitEthernet 0/0/1.1
[AR1-GigabitEthernet0/0/1.1]ip address 10.1.100.1 255.255.255.252
[AR1-GigabitEthernet0/0/1.1]dot1q termination vid 100
[AR1-GigabitEthernet0/0/1.1]arp broadcast enable

AR1 PING测试 10.1.100.2

[AR1]ping 10.1.100.2

由输出结果得知，PING不通LSW1对端的IP

LSW1去PING测试AR1的GigabitEthernet0/0/1.1接口IP地址

[LSW1]ping 10.1.100.1

如果核心交换机的连接网关的接口需要配置为trunk端口类型，数据能否互通？

LSW1

[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]undo port default vlan
[LSW1-GigabitEthernet0/0/1]undo port link-type
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100

[LSW1-GigabitEthernet0/0/1]display this

LSW1再去PING测试AR1的GigabitEthernet0/0/1.1接口IP地址

[LSW1]ping 10.1.100.1

由输出结果得知，子接口的IP地址可达。

通过traffic-filter调用ACL，拒绝不让通行的业务访问公网（部门A）

[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 deny source 192.168.20.0 0.0.0.255
[AR1-acl-basic-2000]rule 15 permit
[AR1-acl-basic-2000]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

PC1（A）
ping 114.114.114.114

由输出结果得知，部门A的业务不能访问公网

PC2（B）
ping 114.114.114.114

由输出结果得知，部门B的业务能访问公网

知识扩展：

门禁道闸的网络业务如何跑起来？

其实与监控业务相似，可直接使用默认VLAN 1进行数据传输；监控、监控存储、监控的服务器使用同网段IP地址，门禁类似。

交换机的SYS灯亮红色，红灯频繁闪动，这是什么原因？

红色的话一般硬件可能有问题，一般使用display fan/power/device命令查看设备是否有异常。

display fan

显示风扇有问题。

好了这期就到这里了，如果你喜欢这篇文章的话，请点赞评论分享收藏，如果你还能点击关注，那真的是对我最大的鼓励。谢谢大家，下期见！