一．组网需求

三个区域实现互访，可以上网；area1,area2两个区域是模拟业务提供区域，通过AC来管理AP，以及实现PC2，PC3的接入汇聚功能。PC1模拟的是公共服务（WWW,FTP等外网服务），后续只要在路由器与SW1之间配置FW设备，即可实现内网访问Internet,外网访问公共服务部分功能。

二．网络拓扑

三．配置思路

核心交换机SW1上配置业务VLAN30;（配置DHCP以及DNS）

AC1配业务VLAN10，VLAN20，使用IP三层实现互通访问；（配置DHCP以及DNS）

SW1配置VLAN200，VLAN201，连接AR1，AC.

AC1上配置VLAN100,用来管理AP

SW2，SW3作为二层转发设备，只配置对应VLAN转发。

AC1，SW1，AR1，分别配置默认路由，指向上层网络，AR1的GE0/0/1

SW1上配置访问VLAN10，VLAN20段的IP路由。

AR1上配置VLAN10，VLAN20，VLAN30的回城路由。

四．结果验证

1.     互通验证

Pc1访问VLAN10 ,VLAN20网关

Pc2访问VLAN20 ,VLAN30网关

Pc3访问VLAN10 ,VLAN30网关。

2在PC1，STA1，cellphone1侧验证访问internet

Pc1 测试ping www.baidu.com可达

Pc1 测试ping www.baidu.com可达

Pc1 测试ping www.baidu.com可达

五．故障处理以及解决办法

1. AC配置完成后，PC可以互访，但是AP无法起来？

解决办法：在AC上查看，Dis ap all ,Ap状态为idle，检查后发现是不通，仔细核查后，发现是接入SW2，SW3上，到AP的接口，eth0/0/1上配置少 port trunk pvid VLAN 100,配置之后，AP可以正常运行。

2. AR1，SW1配置IP，路由之后，发现SW上无法访问外网IP，但是AR可以访问

解决办法：路由表检查无误，只能抓包，发现是通过192.168.137.254这个段访问是可以得到返回包，但是通过200.200.200.2这个IP去访问，是没有返回包，怀疑是internet做了IP地址指定，只能192.168.137.0段访问外网。

只能做NAT地址转换

200.200.200.2访问163.177.151.109没有对应的reply包

192.168.137.254访问163.177.151.109有reply包

在AR1上出口G0/0/1配置NAT地址转换后，可以ping 通，地址已经转为192.168.137.13

已经有正确的reply包

3.AR1上配置NAT地址转换：

Acl配置

[ar1]dis acl all

 Total quantity of nonempty ACL number is 1

Basic ACL 2000, 4 rules

Acl's step is 5

 rule 0 permit source 192.168.10.0 0.0.0.255

 rule 1 permit source 192.168.20.0 0.0.0.255

 rule 2 permit source 192.168.30.0 0.0.0.255

 rule 3 permit source 200.200.200.0 0.0.0.255

Nat 地址池配置：

[ar1]dis nat address-group

 NAT Address-Group Information:

 --------------------------------------

 Index   Start-address      End-address

 --------------------------------------

 1      192.168.137.10   192.168.137.20

 --------------------------------------

  Total : 1

[ar1]

NAT地址池绑定internet出口访问：

[ar1-GigabitEthernet0/0/1]dis this

[V200R003C00]

#

interface GigabitEthernet0/0/1

 ip address 192.168.137.254 255.255.255.0

 nat outbound 2000 address-group 1

#

return

[ar1-GigabitEthernet0/0/1]