H3CS5500交换机，部分VLAN无法访问外网，请问该如何配置？

Posted 2023-03-23

现在VLAN1、3、103可以访问外网，其他的只可以访问内网，现在想要VLAN105也能访问外网，但是13口设置VLAN105后，也无法访问外网，不知道哪里出错了请问该如何配置。比较纠结的是，我做的配置和VLAN103是一致的，为啥VLAN103可以正常访问外网，但是VLAN105就是不行。

参考技术A 路由上没行放你那几个vlanz地址段，内网都通只是出不去而已。问题不在交换机，检查路由nat acl配置，最后vlan1 最好不用重新建Vlan 因为当你 trunk all 的时候 ，可能和你交换机vlan 1 成环。追问

路由没有NAT 没有ACL，同样的配置，配置交换机端口是VLAN103就可以访问外网了，其他的就不行。。

追答

实在不行就上行链路 配 acsess 再配条默认路由到出口 搞定你路由是 h3c 8300G2-X 好像不能网管，不过你可以在WEB页面用户设置里把ssh 权限给上 然后dis 出来你的配置看看，你这样问是解决不了问题的

参考技术B 初略看了下，三层交换机没有做nat，那么你的nat应该是做在路由器上的。你需要把你新配置的网段，加到路由器的nat配置下追问

路由器的配置图，麻烦再帮看下，不能进sys就很奇怪



追答

nat中没有详细设置，或许是自动添加的，那就不是nat的问题了。排除了nat的原因，那就是回程路由的问题了。找到路由器的路由功能 ，添加一条静态路由，格式是：
192.168.105.0 255.255.255.0 192.168.3.254；
齐活

追问

配置了路由，出接口VLAN3和WAN1也还是不行，PING192.168.3.254是没问题，就是无法访问外网。

但是同样的VLAN103就可以正常访问



追答

ping 192.168.3.253能通么，仔细看了你发的配置，没发现什么特殊配置啊。交换机上只有一条vlan3的默认路由，按理说如果不在路由器上写回程路由的话，只有vlan3能和外网互通。你把策略路由截图出来看看，还有交换机和路由器是怎么接线的，除了这两个设备还有类似设备么

追问

能加一下QQ详细指点一下吗，这个事折腾有点久，万分感谢

追答

qq号在私信里

本回答被提问者采纳 参考技术C 你以为能上互联网只是交换机配置一下就能上网？路由器不需要配置的吗？这还需要纠结？哎。。。追问

路由器的配置也截图啦，只有一个VLAN3的配置，但是为什么VLAN103也能访问外网呢，不懂才问。。

追答

我完全没看到你路由器的完整配置，比如NAT配置，路由配置。

追问

帮看下



追答

路由器上的路由表发来看看

追问

追答

让你看路由表，不是静态路由，不过你这静态路由里啥都没写也能说明你为什么不通了。

你需要在路由器上写上去网105网段的静态路由。

追问

配置了也还是不行，同样的路由器配置，VLAN103就可以访问外网，主要都是在交换机上配置



追答

你还是找个专业人士给你弄吧，我看你好恼火哟。

模拟教室网络（跨VLAN，跨网段通讯）

要求：

1，跨VLAN，三个教室在不同的VLAN中，翻番至网络风暴

2，三个VLAN在三个不同的网段

3，设置访问控制列表，组织每个网段的前八个IP不可访问服务器

4,其他IP均可访问外网的服务器

操作步骤：

（启用路由）

1.设置IP（为pc设置ip）（1.1 1.11 2.1 2.11 3.1  3.11 网关分别为：1.254 2.254 3.254）

2.设置三层交换机（具有路由功能）

（1）划分VLAN（VLAN10，VLAN20，VLAN30）

         

Switch>en
Switch#conf
Switch(config)#vlan 10
Switch(config-vlan)#e
Switch(config)#vlan 20
Switch(config-vlan)#e
Switch(config)#vlan 30

（2）位VLAN分配ip（是pc的网关）

　　 vlan 10:192.168.1.254

　　vlan 20:192.168.2.254

　　vlan 30:192.168.3.254

　　(先启用 no shut)vlan 1:192.168.4.254

Switch(config)#inter vlan 10   
Switch(config-if)#ip add 192.168.1.254 255.255.255.0
Switch(config-if)#inter vlan 20
Switch(config-if)#ip add 192.168.2.254 255.255.255.0
Switch(config-if)#inter vlan 30
Switch(config-if)#ip add 192.168.3.254 255.255.255.0
Switch(config)#inter vlan 1

Switch(config-if)#ip add 192.168.4.254 255.255.255.0

Switch(config-if)#no shut

(3）为VLAN分配接口：

       f（0/1）VLAN10

　　f（0/2）vlan 20

　　f(0/3) vlan 30

　　f(0/4) vlan 1(默认的)

Switch(config-if)#inter f 0/1
Switch(config-if)#sw acc vlan 10
Switch(config-if)#inter f 0/2
Switch(config-if)#sw acc vlan 20
Switch(config-if)#inter f 0/3
Switch(config-if)#sw acc vlan 30

（4）启用路由器（ip routing）

Switch(config-if)#ex
Switch(config)#ip routing

3.设置路由器

　　（1）设置端口ip（f0/0 4.1  f1/0 202.1.1.1）

Router(config-if)#inter f 0/0    
Router(config-if)#ip add 192.168.4.1 255.255.255.0
Router(config-if)#inter f 1/0
Router(config-if)#ip add 202.1.1.1 255.255.255.0

　　（2）设置服务器ip（202.1.1.2  202.1.1.1）

（地址转换设置）

　　（1）声明内外网（借口 F0/0 内网 F1/0外网）

Router(config-if)#inter f 0/0
Router(config-if)#ip nat in
Router(config-if)#inter f 1/0
Router(config-if)#ip nat out

　　（2）配置路由表

　　　　三层交换机：

Switch(config)#route rip 
Switch(config-router)#netw 192.168.1.0
Switch(config-router)#netw 192.168.2.0
Switch(config-router)#netw 192.168.3.0
Switch(config-router)#netw 192.168.4.0

　　　　路由器：

Router(config-if)#route rip 
Router(config-router)#netw 192.168.4.0
Router(config-router)#netw 192.168.5.0

　　（3）设置nat表

Switch(config)#ip nat inside source static 192.168.1.1 202.1.1.3
Switch(config)#ip nat inside source static 192.168.1.11 202.1.1.4
Switch(config)#ip nat inside source static 192.168.2.1 202.1.1.5
Switch(config)#ip nat inside source static 192.168.2.11 202.1.1.6
Switch(config)# ip nat inside source static 192.168.3.1 202.1.1.7
Switch(config)# ip nat inside source static 192.168.3.11 202.1.1.8

　　　　192.168.1.1 202.1.1.3

　　　　192.168.1.11 202.1.1.4

　　　　192.168.2.1 202.1.1.5

　　　　192.168.2.11 202.1.1.6

　　　　192.168.3.1 202.1.1.7

　　　　192.168.3.11 202.1.1.8

4.设置三层交换机

　　（设置访问控制列表）

Switch(config)#acc 101 deny ip 192.168.1.1 0.0.0.7 202.1.1.2 0.0.0.255
Switch(config)#acc 101 per ip any any
Switch(config)#acc 102 deny ip 192.168.2.0 0.0.0.7 202.1.1.2 0.0.0.255
Switch(config)#acc 102 per ip any any
Switch(config)#acc 103 deny ip 192.168.3.0 0.0.0.7 202.1.1.2 0.0.0.255
Switch(config)#acc 103 per ip any any

　　　　

        将访问控制列表应用到VLAN

Switch(config)#inter vlan 10
Switch(config-if)# ip acc 101 in
Switch(config-if)#inter vlan 20
Switch(config-if)#ip acc 102 in
Switch(config-if)#inter vlan 30Switch(config-if)#ip acc 103 in

5.测试

　192.168.1.1 访问202.1.1.2 访问失败

    192.168.1.11 访问202.1.1.2访问成功