ER路由器连接三层交换机网段划分配置及总结案例

近来经常遇到客户咨询ER路由器连接三层交换机划分网段的问题，为了更方便处理问题特此针对1.路由器和交换机的级联网段相同；2.级联网段和业务网段不同两种情况的配置及总结。组网拓扑如下：

1、实验设备：

模拟公网PC由WBR204N WAN接口代替

ER3100路由器1台

S3600三层交换机一台

三个部门PC分别用三个2层交换机代替

2、实验配置： （级联网段跟业务网段相同）

1.模拟公网PC配置：

2.ER3100路由器配置：

WAN口配置：

LAN口配置：

业务网段跟级联网段相同时，如果客户端网关为三层交换机接口IP地址必须配置此步骤，不配置的话不能跟外网通信。

回指路由：

3.S3600三层交换机配置：

#

interface Vlan-interface1//A部门（跟级联网段相同）

 ip address 192.168.1.2 255.255.255.0

#

interface Vlan-interface2//B部门

 ip address 192.168.2.2 255.255.255.0

#

interface Vlan-interface3//C部门

 ip address 192.168.3.2 255.255.255.0

#

interface Ethernet1/0/24//连接路由器LAN口

 port link-mode bridge

#

interface Ethernet1/0/1//A部门

 port link-mode bridge

#

interface Ethernet1/0/2//B部门

 port link-mode bridge

 port access vlan 2

#

interface Ethernet1/0/3//C部门

 port link-mode bridge

 port access vlan 3

#

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1//缺省路由

#

4.A/B/C部门客户端配置：

#//A部门

interface vlan-interface1

 ip address 192.168.1.3 255.255.255.0

 ip gateway 192.168.1.2

#//B部门

interface vlan-interface1

 ip address 192.168.2.3 255.255.255.0

 ip gateway 192.168.2.2

#//C部门

interface vlan-interface1

 ip address 192.168.3.3 255.255.255.0

 ip gateway 192.168.3.2

#

3.验证效果：

[A部门]ping 1.1.1.1//B、C部门省略

  PING 1.1.1.1: 56  data bytes, press CTRL_C to break

    Reply from 1.1.1.1: bytes=56 Sequence= 1 ttl= 255 time = 26 ms

    Reply from 1.1.1.1: bytes=56 Sequence= 2 ttl= 255 time = 15 ms

    Reply from 1.1.1.1: bytes=56 Sequence= 3 ttl= 255 time = 28 ms

    Reply from 1.1.1.1: bytes=56 Sequence= 4 ttl= 255 time = 15 ms

    Reply from 1.1.1.1: bytes=56 Sequence= 5 ttl= 255 time = 28 ms

  --- 1.1.1.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.0 % packet loss

1.通常情况下，下接三层交换机建议在交换机上面专门划分一个网段跟路由器级联，业务网段独立出来避免冲突。

2.有些客户级联网段和其中的一个业务网段相同（可能是没有合理规划网络或者有特殊需求），在这种情况下如果网关在ER路由器LAN上面访问网络正常，如果网关在三层交换机上面则会出现跟级联网段相同的客户端不能访问外网，必须关闭“报文源认证功能中的基于动态ARP的报文源认证功能”因为开启该功能后开启该功能，设备将会对内网数据包的源IP/MAC进行智能认证，确认对端是否是存在的合法的主机，如果数据包的源IP/MAC与已确认的合法主机的IP/MAC冲突，则该数据包将被设备丢弃 如果网络中存在相同MAC对应不同IP的应用，请将对应的IP/MAC进行静态ARP绑定，否则可能影响正常业务访问。

3.在路由器的ARP信息中，假如网关在三层交换机上面也会有该网段的ARP信息，因为同一个网段都会显示出来，其他网段因为是夸网段的则不会显示出来。