三层交换机怎么连接路由器做网关？

三层交换机可通过VLANIF接口与路由器直连，由交换机承担内网路由与DHCP服务，路由器专注NAT转换与外网接入，形成分工明确的双层网关架构。具体实践中，三层交换机需配置用户侧VLANIF接口并启用DHCP地址池，同时设置指向路由器的缺省路由；路由器则需配置与交换机互联的私网IP、公网出口IP、回程路由及NAT规则，确保双向通信可达。该方案已在企业级网络部署中广泛应用，符合IEEE 802.1Q和RFC 1542等标准规范，具备良好的可扩展性与策略灵活性，能有效支撑多业务子网统一管理与安全访问控制。

一、三层交换机侧配置关键步骤

首先在交换机上创建用户所属VLAN，例如VLAN 10用于办公网段，并为该VLAN创建对应的VLANIF 10接口，配置IP地址如192.168.10.1/24作为该子网网关。接着启用DHCP服务，定义地址池范围（如192.168.10.100–192.168.10.200），指定网关为VLANIF 10的IP，同时配置DNS服务器地址。随后创建与路由器互联的VLAN（如VLAN 100），配置VLANIF 100接口IP（如10.0.0.1/30），并在此接口下配置静态缺省路由：ip route-static 0.0.0.0 0.0.0.0 10.0.0.2，其中10.0.0.2为路由器对应接口IP。所有操作需在全局配置模式下逐条执行，且建议通过display ip routing-table验证路由表是否生成缺省条目。

二、路由器侧配置核心要点

路由器需将连接交换机的物理接口划入对应VLAN或直接配置为三层接口，分配与交换机VLANIF 100同网段的IP（如10.0.0.2/30）。公网接口则配置运营商分配的合法IP或PPPoE拨号参数。配置静态缺省路由指向公网出口，同时必须添加回程路由：ip route-static 192.168.10.0 255.255.255.0 10.0.0.1，确保外网返回流量能正确转发至交换机。NAT方面，在公网接口下启用Easy IP方式，命令为nat outbound 2000，其中ACL 2000需精确匹配内网业务网段（如192.168.10.0/24），避免误转换其他管理流量。

三、连通性验证与排错要点

完成配置后，需依次验证：用PC ping VLANIF 10网关确认二层可达；ping路由器互联接口IP（10.0.0.2）验证三层互通；在交换机上ping公网DNS（如114.114.114.114）测试缺省路由与NAT生效；最后从PC发起tracert，观察路径是否经由10.0.0.1→10.0.0.2→公网IP。若DHCP获取失败，需检查VLANIF接口是否开启dhcp select global；若上网不通，重点核查路由器回程路由是否存在及ACL是否放行内网源地址。

综上，该架构通过职责解耦提升网络健壮性，既发挥三层交换机的高性能内网转发能力，又依托路由器成熟NAT与安全策略能力，是中大型局域网接入互联网的标准实践路径。