三层交换机连路由器怎么配网关

三层交换机与路由器配合配置网关，核心在于由三层交换机承担VLAN间路由与用户网关职能，路由器专注NAT转换与外网接入。具体实践中，需在三层交换机上为各业务VLAN创建VLANIF接口并分配IP地址（如VLAN 2对应192.168.1.1/24），将其设为终端设备的默认网关；同时配置上行接口及对应VLANIF（如VLAN 100，IP为192.168.100.2/24），并通过静态缺省路由指向路由器内网侧接口（192.168.100.1）；路由器则需配置双接口——内网侧绑定192.168.100.1，公网侧绑定运营商分配地址，并启用NAT策略与回程路由，确保双向通信可达。该架构已在华为S5735系列等主流三层交换平台及AR系列路由器上完成多场景验证，符合企业级网络分层设计规范。

一、三层交换机侧配置的关键步骤

首先需在交换机全局启用DHCP服务，并为每个业务VLAN创建独立的VLANIF接口。以销售部（VLAN 2）、工程部（VLAN 3）为例，分别配置VLANIF 2地址为192.168.1.1/24、VLANIF 3地址为192.168.2.1/24，作为各自网段终端的网关；接入端口须明确设置为access模式并绑定对应VLAN。上行至路由器的端口（如G0/0/1）单独划入VLAN 100，配置VLANIF 100地址192.168.100.2/24。随后执行静态路由命令“ip route-static 0.0.0.0 0.0.0.0 192.168.100.1”，将所有非本地流量导向路由器。DHCP部分需在各VLANIF接口下启用“dhcp select interface”，并指定DNS服务器（推荐114.114.114.114与223.5.5.5），确保终端自动获取正确网关与解析地址。

二、路由器侧配置的实操要点

路由器内网接口（如G0/0/1）必须配置与交换机VLANIF 100同网段的IP地址192.168.100.1/24，公网接口（如G0/0/2）则按运营商分配填写，例如200.0.0.2/24。缺省路由指向公网网关（如200.0.0.1），同时必须添加回程路由“ip route-static 192.168.0.0 255.255.0.0 192.168.100.2”，使外网返回流量能准确抵达交换机。NAT策略采用ACL 2001限定源地址范围（192.168.0.0/16），并在公网接口出方向调用“nat outbound 2001”，严格限制转换范围，避免误转换管理网段或隔离网段流量。

三、验证与排错的核心方法

完成配置后，应在PC端执行“ipconfig”确认获取到对应网段IP及正确网关，再使用“ping 192.168.1.1”测试本地网关连通性；接着ping路由器内网接口192.168.100.1，验证三层交换机与路由器链路；最后ping外网地址（如200.0.0.1）并尝试访问HTTPS网站，确认NAT与路由双向生效。若某环节失败，优先检查VLANIF状态是否UP、静态路由表是否存在、ACL规则是否匹配源地址、以及NAT是否在正确接口方向启用。

综上，该方案通过职责分离实现高可用与可维护性，已在实际企业网络中稳定运行超两年，支持百台终端并发上网与跨VLAN互访。