拓撲

拓撲可以儲存到本地，然後擴大檢視，這樣才能看的更清楚。（拖動到新視窗開啟即可）

分支機構部署

說明可以看到分支的機構非常簡單，典型的小企業或者分支的機構，一臺出口路由器，下接三層交換機，然後在連線二層交換機。有的甚至，沒有三層交換機，直接是路由器+二層交換機。

分部部署思路

1、採用之前定義的IP地址表項與VLAN與介面劃分進行配置 2、配置路由，或者採用單臂路由兩種方式 3、路由器配置VPN，實現財務部互訪，並且AP能夠正常關聯到總部的AC上面。

具體部署1、採用之前定義的IP地址表項與VLAN進行配置

說明：跟總部一樣，在每個交換機與路由器上面定義好IP地址，然後進行VLAN與介面的劃分。1.1、二層交換機VLAN劃分與介面模式部署

說明：這裡有A、B兩臺二層交換機，每個交換機上面部署2個VLAN，A交換機用來跑無線與業務部的流量，而B交換機則跑管理層與財務部的流量，然後與上行三層交換機連線即可，所以我們需要做的是在A交換機上面部署對應的VLAN，然後把除了上行鏈路介面以外的流量，都加入到對應的VLAN中，其中上行鏈路為Trunk，允許需要穿越的流量通過，而接入使用者的介面則為Access，加入到對應VLAN，連線AP的介面比較特殊，因為有管理VLAN與業務VLAN存在，所以可以是Hybrid埠，或者是Trunk。A交換機VLAN劃分以及介面劃入配置 [Branch-sw-A]vlan 2 [Branch-sw-A-vlan2]name market

[Branch-sw-A]vlan 3 [Branch-sw-A-vlan3]name Wireless 說明：定義2個VLAN，並且定義了name說明幹什麼用的

[Branch-sw-A]int e0/4/6 [Branch-sw-A-Ethernet0/4/6]description to-Core-SW e0/4/6 [Branch-sw-A-Ethernet0/4/6]port link-type trunk [Branch-sw-A-Ethernet0/4/6]port trunk permit vlan 2 to 3 說明：該介面為Trunk，是連線上行三層交換機，允許了現有的VLAN通過，VLAN 2與VLAN 3

[Branch-sw-A]int e0/4/2 [Branch-sw-A-Ethernet0/4/2]description connection to AP [Branch-sw-A-Ethernet0/4/2]port link-type hybrid [Branch-sw-A-Ethernet0/4/2]port hybrid vlan 3 tagged 說明：該介面定義為Hybrid，並且VLAN 3的打Tag，因為我們會定義VLAN 3為業務VLAN，而VLAN 1作為管理VLAN存在。 預設情況下VLAN 1是不打Tag的。

[Branch-sw-A]port-group manual 1 [Branch-sw-A-port-group-manual-1]group-member Ethernet 0/4/0 to e0/4/1 [Branch-sw-A-port-group-manual-1]group-member Ethernet 0/4/3 to e0/4/5 [Branch-sw-A-port-group-manual-1]port access vlan 2 說明：定義了一個埠組，然後把其餘的介面加入到該組中，然後加入到VLAN 2中，注意H3C的介面預設為Access的，不跟華為一樣為Hybrid介面。

B交換機VLAN劃分以及介面劃入配置 [Branch-sw-B]vlan 4 [Branch-sw-B-vlan4]name caiwu

[Branch-sw-B-vlan4]vlan 5 [Branch-sw-B-vlan5]name jingli

[Branch-sw-B]int Ethernet 0/4/7 [Branch-sw-B-Ethernet0/4/7]description to-Core-SW e0/4/7 [Branch-sw-B-Ethernet0/4/7]port link-type trunk [Branch-sw-B-Ethernet0/4/7]port trunk permit vlan 4 to 5

[Branch-sw-B]port-group manual 1 [Branch-sw-B-port-group-manual-1]group-member Ethernet 0/4/0 to Ethernet 0/4/4 [Branch-sw-B-port-group-manual-2]port access vlan 4

[Branch-sw-B]port-group manual 2 [Branch-sw-B-port-group-manual-2]group-member Ethernet 0/4/5 to e0/4/6 [Branch-sw-B-port-group-manual-2]port access vlan 5 說明：B交換機與A的一樣，劃分VLAN，然後把對應的VLAN加入到介面中。

三層交換機VLAN建立與介面劃分 [Core-sw]vlan 2 to 5

[Core-sw]int e0/4/6 [Core-sw-Ethernet0/4/6]port link-type trunk [Core-sw-Ethernet0/4/6]port trunk permit vlan 2 to 3

[Core-sw]interface e0/4/7 [Core-sw-Ethernet0/4/7]port link-type trunk [Core-sw-Ethernet0/4/7]port trunk permit vlan 4 to 5 說明：在核心交換機上面建立對應的VLAN，然後介面都為Trunk模式，允許對應的VLAN通過即可。

三層交換機IP地址與DHCP定義 說明：三層交換機上面需要部署5個VLAN的地址，一個管理的給AP分配地址，與DHCP Option 43，而其他4個VLAN地址對應下面4個VLAN，給它們分配地址。

[Core-sw]dhcp enable

[Core-sw]dhcp server ip-pool vlan1 [Core-sw-dhcp-pool-vlan1]network 192.168.1.0 24 [Core-sw-dhcp-pool-vlan1]option 43 hex 80 07 00 00 01 c0 A8 01 FB [Core-sw-dhcp-pool-vlan1]gateway-list 192.168.1.254 [Core-sw-dhcp-pool-vlan1]dns-list 8.8.8.8

[Core-sw]dhcp server ip-pool vlan2 [Core-sw-dhcp-pool-vlan2]network 172.16.2.0 24 [Core-sw-dhcp-pool-vlan2]dns-list 8.8.8.8 [Core-sw-dhcp-pool-vlan2]gateway-list 172.168.2.254

[Core-sw]dhcp server ip-pool vlan3 [Core-sw-dhcp-pool-vlan3]network 172.16.3.0 24 [Core-sw-dhcp-pool-vlan3]dns-list 8.8.8.8 [Core-sw-dhcp-pool-vlan3]gateway-list 172.168.3.254

[Core-sw]dhcp server ip-pool vlan4 [Core-sw-dhcp-pool-vlan4]network 172.16.4.0 24 [Core-sw-dhcp-pool-vlan4]dns-list 8.8.8.8 [Core-sw-dhcp-pool-vlan4]gateway-list 172.16.4.254

[Core-sw]dhcp server ip-pool vlan5 [Core-sw-dhcp-pool-vlan5]network 172.16.5.0 24 [Core-sw-dhcp-pool-vlan5]gateway-list 172.16.5.254 [Core-sw-dhcp-pool-vlan5]dns-list 8.8.8.8 說明：定義了5個VLAN的地址池，每個VLAN都分配對應的網段與DNS、閘道器引數，注意VLAN 1是給AP分配的，所以這裡AP必須有Option 43，註冊到總部的AC上面，後續通過VPN。

[Core-sw]dhcp server forbidden-ip 172.16.1.254 [Core-sw]dhcp server forbidden-ip 172.16.2.254 [Core-sw]dhcp server forbidden-ip 172.16.3.254 [Core-sw]dhcp server forbidden-ip 172.16.4.254 [Core-sw]dhcp server forbidden-ip 172.16.5.254 說明：排除掉閘道器用的地址。

[Core-sw]int vlan 1 [Core-sw-Vlan-interface1]ip address 172.16.1.254 24 [Core-sw-Vlan-interface1]dhcp select server global-pool

[Core-sw]interface vlan 2 [Core-sw-Vlan-interface2]ip address 172.16.2.254 24 [Core-sw-Vlan-interface2]dhcp select server global-pool

[Core-sw]interface vlan 3 [Core-sw-Vlan-interface3]ip address 172.16.3.254 24 [Core-sw-Vlan-interface3]dhcp select server global-pool

[Core-sw]interface Vlan-interface 4 [Core-sw-Vlan-interface4]ip address 172.16.4.254 24 [Core-sw-Vlan-interface4]dhcp select server global-pool

[Core-sw]interface Vlan-interface 5 [Core-sw-Vlan-interface5]ip address 172.16.5.254 24 [Core-sw-Vlan-interface5]dhcp select server global-pool

[GW]interface g0/0/2 [GW-GigabitEthernet0/0/2]ip address 172.16.1.253 24 結果測試，能否拿到地址

說明：已經分配到了地址，而且也可以Ping通閘道器。

2、配置路由。

說明：這裡需要配置三層交換機的路由與出口路由器的路由，這裡三層交換機只需要一條預設路由直接出口路由器即可，因為它內部網路都可以經過三層交換機轉發，而公網的都是要經過出口路由器，所以只需要把預設路由指向出口路由器即可。而出口路由器，除了有一條預設指向ISP的路由以外，還需要知道內部的明細路由，這樣才能把資料包正確的回覆給內部網路。三層交換機路由 [Core-sw]ip route-static 0.0.0.0 0 172.16..1.253 說明：三層交換機只需要預設路由指向出口路由器即可

出口路由器 [GW]ip route-static 172.16.2.0 24 172.16.1.254 [GW]ip route-static 172.16.3.0 24 172.16.1.254 [GW]ip route-static 172.16.4.0 24 172.16.1.254 [GW]ip route-static 172.16.5.0 24 172.16.1.254 說明：直接去往2.0、3.0、4.0、5.0的路由都交給1.254，也就是三層交換機即可

給ISP的路由 這裡由於是PPPOE撥號實現的，所以不能確定下一跳，只能指向撥號介面。

PPPOE撥號定義 [GW]dialer-rule 1 ip permit [GW]interface Dialer 1 [GW-Dialer1]dialer user ccieh3c [GW-Dialer1]dialer-group 1 [GW-Dialer1]dialer bundle 1 [GW-Dialer1]ip address ppp-negotiate [GW-Dialer1]ppp pap local-user ccieh3c password simple ccieh3c.taobao.com [GW-Dialer1]mtu 1460 [GW-Dialer1]tcp mss 1400 [GW]int g0/0/0 [GW-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1 說明定義了一個PPPOE撥號，實際環境中以ISP給的使用者名稱與密碼為準。

檢查結果

可以看到已經正常獲取地址了。

部署預設路由指向ISP [GW]ip route-static 0.0.0.0 0 Dialer 1

NAT部署 [GW]acl number 3005 [GW-acl-adv-3005]rule 20 permit ip source any

[GW]int Dialer 1 [GW-Dialer1]nat outbound 3005

如果是早期的部署方案【單臂路由，少數企業在用】

這裡直接啟用子介面即可，比如子介面為2，VLAN封裝也為2，這樣方便區分，然後配置IP地址即可。另外的是，交換機只需要部署為Trunk即可。