写字楼的路由器上多公网IP地址的设置方法

对于任何一个上午的组网方法和解决方案，都需要先考虑用户需求，在满足需求的基础上才能讨论出最佳的联网方案来。下文根据一个写字楼内部的需求，连接的是电信的公网，所作出的网络规划即考虑了ip地址的分配，也照顾了路由器设备的选购等方法面面。

用户需求：我们公司是做写字楼招租的，满租大概100家企业左右，目前遇到一些问题，有几家客户需要映射自己的服务器，且都是一些标准端口，比如80、21、25端口等等，而我们公司一个公网IP地址又不够用，且标准端口自己还要用，于是乎，向电信申请了公网IP地址。
 
经过长达三周的申请，电信的五个公网IP地址终于下来了，我公司的大客户都快疯掉了，刚开始给了五个IP地址，既然不能用，我又怕自己出错，也就用笔算了一下，果然有问题，简单描述一下，刚开始时公司的公网IP地址为116.236.177.242，子网掩码为255.255.255.252，电信给我的是116.236.177.242/243/244/245/246/247，我差点晕倒，子网掩码既然不变，掐头去尾，也就剩下两个能够用了，一个为网关，另一个为公司路由器WAN的地址，测试了好几次都不成功，于是我再次拨通了电信技术人员的电话，继续问五个IP地址的问题，他们说已经给我了，又重复给我报了一遍，还是这五个地址，我直接来了一句：“麻烦您算一下，这五个IP地址对么”，电信人员沉默了大概30秒，来了一句，待会给您回复！在这里，我已经知道他们给我错了，呵呵！

下午吃饭的时候，电信又打来了电话，报了六个IP地址，我说不是五个麽，他既然说多给一个，我不思其解，不过子网掩码划分到了255.255.255.248，我细细算了一下，掐头去尾，刚好六个公网IP地址，为什么电信要多给我一个呢，继续分析，除此之外，电信又给我报了一个叫互联地址跟这五个IP地址不在一个段，我也就更晕了，咋这么多IP地址呢，在路由器上又如何配置呢，电信技术人员继续描述到将互联地址配在WAN口上，然后将五个公网IP地址配置在路由器的LAN口上，NAT不要开启。在这里，同志们先不要往下看，想想电信要做什么，应该如何配置。

简单描述一下我们公司的网络,我们公司全部采用H3C的设备,电信的光纤连接了一个光猫然后连接到我们公司的路由器的WAN口上,公司的路由器的LAN1口连接在三层交换机的G1/0/24号接口上,三层交换机的其它端口分别连接到各个楼层的二层交换机上,其次还连接了两台服务器,(本来想用visio2007画一张拓扑图呢,找不到序列号,功能无法使用,电脑下载速度也只有30Kbps,太慢,也就没有了办法了,只好口头描述) 具体的配置为,交换机上划了多个VLAN,其中G1/0/24号接口在VLAN1里,路由器的接口LAN1也就和VLAN1配置在同一个段里,路由器上配置了多条静态路由指向三层交换机的各个VLAN,三层交换机上配置了一条默认路由,下一跳指向路由器的LAN1口上,其次还配置了RIP协议,不过我一直都没搞懂上次来给我们配置交换机的H3C专业人员配置这个是干什么用的,路由器上又没有启用RIP,交换机上却启用了,改天把它删了试试看,估计没啥作用, 毕竟两边都配置了静态路由和默认路由,(大家都知道,H3C的三层交换机接口是不能配置IP地址的,具体可以理解为将一个VLAN的IP地址用做交换机和路由器直连的接口的IP地址),二层交换机上大部分端口采用了H3C专有的隔离技术,毕竟每个端口连的公司不一样,如果不隔离,岂不挂掉。

现在呢,需要将路由器WAN口的IP地址换成电信给的互联地址,然后将五个公网IP地址配置在路由器的LAN口上(路由器上除了LAN1外,还有LAN2和LAN3,蛮神奇的),如何配置呢,方案1:将路由器的LAN1口配置成公网的IP地址,而且网段不变和三层交换机的VLAN1相连,那二层交换机的VLAN1岂不是都要配置成公网IP地址,要不然无法管理撒,这不太浪费了麽;无法实现,pass!

方案二:为了不给二层交换机配置公网IP地址,准备将路由器的LAN1口和三层交换机的其它VLAN相连，这样VLAN1就不占用公网IP地址了，只要将客户连接二层交换机的端口配置在这个VLAN里，就可以设置公网IP地址上网了，不过又遇到一个非常可笑的问题，路由器的LAN1口如果这么配置，那么NAT就要关掉了，因为LAN1的IP地址就是公网的，不需要转换，那么普通客户的电脑没有了NAT转换，将如何上网，难道要在三层交换机上配置NAT？？？，毕竟客户的电脑是通过三层交换机和路由器VLAN1相连的那个VLAN地址出去的，方法过于繁琐，动作太大，还有没有更好的办法呢？

方法三：启用路由器的LAN2接口，并划分到一个VLAN里，然后连接到交换机的另一个接口上，并将交换机的这个接口也划分到对于的VLAN里，并配置公网IP地址，然后将客户路由器连接的二层交换机的接口也配置在这个VLAN里，这不就不用动以前的网络了么，普通客户还是通过以前的VLAN1出去，这些需要公网IP地址的客户就可以通过路由器的LAN2口出去了，而路由器的角色对于普通客户来说起到了NAT作用，而对于需要公网IP地址的客户来说起到了转发作用。

      既然方案三没有了问题，那就采用了，做四件事情：1、将路由器的LAN2口启用，划分一个VLAN出来（不可和已有VLAN冲突），并分配公网IP地址以及子网掩码；2、在三层交换机上创建和路由器对应的VLAN,并将路由器LAN2和三层交换机连接的G1/0/23号接口划分到这个VLAN里，并给这个VLAN分配IP地址以及子网掩码，两个公网IP地址没了；3、三层交换机上添加一条静态路由，下一跳指向路由器的LAN2接口的IP地址上；4、给二层交换机划分指定的VLAN，并将指定的端口划分到这个VLAN里来。

     这样，所有的配置就算完成了，为了验证一下是否正确，我一个电话打到了客户网管那里，报给他了具体的公网IP地址、子网掩码以及网关，过了大概1分钟，电话打了过来，测试通过。

     虽说全部完成了，不过路由器却租给了电信，本来我还以为电信给的五个公网IP地址在路由器的WAN口上配置呢（配置一个，其它的用NAT一对一转换），谁知道，自己的路由器竟成了公网上的节点，差点汗死！，不过这样也好，路由器的压力似乎小了一点，毕竟不用在做那么多NAT转换了，呵呵！！至于电信为什么给我六个IP地址，就可想而知了！还有，如果谁有更好的方案，还希望多多提出，众人的力量才是精华所在啊！