怎么实现一台路由加交换机，然后交换机上的VLAN都能上网啊？

xf_hfg

一台软路由，刷了lean大X86 OP固件，wan接光猫，lan接华为S1720交换机，交换机划了3个VLAN，分别设置了3个网段的vlanif。怎么配置才能让这三个vlan都能上网啊，折腾好几天没搞定，VLAN间的设备已经可以ping通，就是不能上网。pc的IP地址用的交换机的dhcp，自动取得vlanif的地址作为网关，交换机上也做了指向路由的静态地址，如：“0.0.0.0  0.0.0.0 192.168.1.1”。。。。难道这个交换机不支持吗？只能单臂路由？

请不要胡乱输入以及粘贴、复制等方式灌水

请尊重作者、并共同维护网站的正常阅读，否则账户将会被限制发帖、回帖，站内短信以及阅读权限等都会受到影响，谢谢。 具体限制方式：https://www.right.com.cn/forum/thread-8307840-1-1.html

EXIA文

路由器上面的回程路由写了没有，最起码交换机下面的pc要能ping通路由的lan接口地址 然后就是op的防火墙问题了 防火墙里面需要写入你下面的需要上网网段的NAT命令

lij3651

S1720应该是台二层交换机吧，把交换机连接软路由的网口设置为Hybrid类型，并允许3个vlan通过，然后在软路由上设置静态路由，和多网段nat。这样就可以了。

lij3651

家里这么弄有必要么？一般小企业都不这样配置，用1台三层交换机做核心交换机配置vlan，再用1台路由器做边缘路由器。

xf_hfg

EXIA文 发表于 2020-12-8 09:11
路由器上面的回程路由写了没有，最起码交换机下面的pc要能ping通路由的lan接口地址 然后就是op的防火墙问题 ...

返程也写了，也能ping通，防火墙没有设置，这个怎么写？防火墙都是默认的，没动过

xf_hfg

lij3651 发表于 2020-12-8 09:36
家里这么弄有必要么？一般小企业都不这样配置，用1台三层交换机做核心交换机配置vlan，再用1台路由器做边缘 ...

四层房子，无线设备、智能家居设备、电视、机顶盒、门禁等等，做VLAN隔离还是有必要

xf_hfg

lij3651 发表于 2020-12-8 09:33
S1720应该是台二层交换机吧，把交换机连接软路由的网口设置为Hybrid类型，并允许3个vlan通过，然后在软路由 ...

这个查了查貌似算个两层半。。。因为他可以设置vlanif，作为每个vlan的网关，PC的网关设这个vlanif后就可以vlan间互通

xf_hfg

EXIA文 发表于 2020-12-8 09:11
路由器上面的回程路由写了没有，最起码交换机下面的pc要能ping通路由的lan接口地址 然后就是op的防火墙问题 ...

我现在是这么做的：
1.路由器LAN口IP:192.168.8.1
2.S1720划了三个vlan：VLAN 20(VLANIF:192.168.2.254)   VLAN 30(VLANIF:192.168.3.254)   VLAN 40(VLANIF:192.168.8.254)   
3.交换机与路由器lan接口设为trunk，划在vlan40  ，并配置允许 vlan20 30通过，交换机配置静态路由：0.0.0.0 0.0.0.0 192.168.8.1
4.op路由器配置静态路由两条："192.168.2.0 255.255.255.0 192.168.8.254"、"192.168.3.0 255.255.255.0 192.168.8.254"

但是不能上网，我从OP路由器ping交换机各个vlan网关可以ping通。。。。

jarl216

xf_hfg 发表于 2020-12-8 10:01
四层房子，无线设备、智能家居设备、电视、机顶盒、门禁等等，做VLAN隔离还是有必要

难道不同的vlan接一个路由做ap？

xf_hfg

jarl216 发表于 2020-12-8 10:21
难道不同的vlan接一个路由做ap？

不是的，路由是X86安装的OP，AP和AC都接在交换机上的。需求是根据场景划VLAN,比如智能家居的设备（有智能家居网关，多个子设备通过网关接入网络）如果不做VLAN隔离，会很麻烦的。

lij3651

xf_hfg 发表于 2020-12-8 10:10
我现在是这么做的：
1.路由器LAN口IP:192.168.8.1
2.S1720划了三个vlan：VLAN 20(VLANIF:192.168.2.254 ...

多网段NAT，除了192.168.8.X这个网段需要NAT出去，192.168.2.X和192.168.3.X这个网段也要NAT出去

xf_hfg

lij3651 发表于 2020-12-8 11:18
多网段NAT，除了192.168.8.X这个网段需要NAT出去，192.168.2.X和192.168.3.X这个网段也要NAT出去

谢谢大神，opwrt的多网段nat在哪设置啊？防火墙里没有，只有端口转发和通信规则，要用命令吗？

xf_hfg

xf_hfg 发表于 2020-12-8 11:59
谢谢大神，opwrt的多网段nat在哪设置啊？防火墙里没有，只有端口转发和通信规则，要用命令吗？

在防火墙的自定义规则里加上两条：
iptables -I POSTROUTING -t nat -s 192.168.2.0/24 -j MASQUERADE
iptables -I POSTROUTING -t nat -s 192.168.3.0/24 -j MASQUERADE

不知道对不对，晚上回去测试下

EXIA文

xf_hfg 发表于 2020-12-8 16:09
在防火墙的自定义规则里加上两条：
iptables -I POSTROUTING -t nat -s 192.168.2.0/24 -j MASQUERADE
...

iptables -t nat -A POSTROUTING -o wan接口(例如eth1) -s 192.168.2.0/24 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE      标准写法是这样的