三层交换机怎么连接路由器上网？

三层交换机连接路由器上网，本质是通过VLANIF接口实现内网多网段路由，并由路由器统一执行NAT转换以访问外网。具体而言，三层交换机需划分业务VLAN、为各VLAN配置对应VLANIF接口并指定IP地址作为该子网网关，同时设置指向路由器的静态默认路由；其上行接口（可为三层物理口或Trunk口）与路由器直连，路由器侧则配置对应内网接口IP、公网接入参数及NAT规则。该方案兼顾内网高效三层转发与外网安全地址映射，已被IDC网络架构白皮书及华为、H3C等厂商官方配置指南列为标准组网实践，广泛应用于中小型企业网络出口建设。

一、VLAN与VLANIF接口的精细化配置

首先在三层交换机上创建业务所需的VLAN，例如VLAN 10（办公网）、VLAN 20（服务器区）、VLAN 30（访客网），每个VLAN需明确用途与IP地址规划。接着为每个VLAN创建对应的VLANIF接口，如interface Vlanif10，为其配置唯一且不重叠的IP地址（如192.168.10.1/24），该地址即作为对应子网终端的默认网关。务必确保各VLANIF接口处于up状态，并启用本地ARP代理（若跨VLAN通信需二层透传）以保障广播域隔离下的互通性。

二、上行链路与路由指向的关键设置

选择一个物理端口（如GigabitEthernet1/0/24）配置为三层接口（no switchport），或配置为Trunk模式并允许所需VLAN通过；该端口IP地址须与路由器内网接口处于同一网段（如192.168.255.2/30）。随后在交换机全局视图下配置静态默认路由：ip route-static 0.0.0.0 0.0.0.0 192.168.255.1，其中下一跳地址即为路由器内网接口IP。此步骤确保所有非本地VLAN流量均可正确转发至路由器。

三、DHCP服务与路由器侧NAT协同部署

在三层交换机上启用DHCP全局功能，为各VLAN创建独立地址池（如pool vlan10，network 192.168.10.0 mask 255.255.255.0，gateway-list 192.168.10.1），并绑定至对应VLANIF接口。路由器侧则需配置公网接口（如GigabitEthernet0/0/1）获取ISP分配的合法IP或PPPoE拨号，再通过nat outbound命令将内网网段（如192.168.0.0/16）映射至公网出口，同时配置静态路由指向交换机上行网段，完成双向可达。

四、连通性验证与基础排错要点

使用ping命令依次测试：VLAN内终端→VLANIF网关→路由器内网口→公网DNS（如114.114.114.114）；若某环节不通，优先核查VLANIF状态、路由表项、ACL策略及NAT地址池是否启用。建议开启交换机日志记录与路由器NAT会话统计，便于定位地址转换失败或路由黑洞问题。

综上，该架构以三层交换机承担内网核心路由与终端管理，路由器专注外网接入与安全策略，分工清晰、扩展性强，是当前中小网络高性价比出口方案的成熟范式。