深信服加华为三层交换机建立局域网

在交换机和深信服之间没必要做trunk。设置如下：
S5300部分：ip route-static 0.0.0.0 0.0.0.0 172.16.1.1（默认路由配置，172.16.1.1为默认网关，也就是深信服的LAN口地址）
vlan bath 1 to 5 （划分VLAN )

interface g 0/0/x
port link-type access
port defeat vlan x （把端口划分到vlan，什么端口划什么vlan你自己决定）

interface vlanif 1
ip address 192.168.1.1 255.255.255.0 （配置vlan的接口地址，也就是vlan间的路由，以此类推。注意，与深信服直连的端口一定要划分到VLAN 5）

interface vlanif 5
ip address 172.16.1.2 255.255.255.0 （配置vlan间的路由,以及深信服的LAN口直连的vlan的地址，必须同一网段）

深信服部分：设置到外网的默认路由在静态路由的选项里面做，目的地址和目的地址的子网掩码全零，即0.0.0.0 ，下一跳和网关指向你们的外网网关（10.63.13.25x，和你们的外网地址同网段的那个地址就是，ip地址只相差最后一位）

设置到内网的回包路由在静态路由的选项里面做，目的地址和目的地址的子网掩码分别是172.16.1.0/255.255.255.0 ,192.168.1.0/255.255.255.0 ，192.168.2.0/255.255.255.0 ，192.168.3.0/255.255.255.0 ，192.168.4.0/255.255.255.0 ，下一跳和网关指向172.16.1.2

设置上网，防火墙-NAT转换选项还是上网设置选项里面............选项具体在哪里我记不清了。总之，把vlan1-valn 5的网段全部添加进去就可以了。

关于下面接入交换机的部分，如果下面的每一个接入交换机都只对应一个VLAN，那么把这个接入交换机直接接到对应vlan 的接口上就 可以了。如果下面的每一个接入交换机对应多个VLAN，那么必须在接入交换机和5300对接的端口上面设置trunk端口（两边都要设置），接入交换机上面继续划分vlan，加入端口（命令如上）。

注意：接入交换机必须是智能交换机才能支持vlan划分和trunk设置。如果不是，就只能一个接入交换机对应一个vlan。

trunk设置命令

interface g 0/0/x
port link-type trunk
port trunk allow-pass vlan all （设置端口为trunk模式，并允许所有vlan通过）

三层交换机路由写一条默认路由，华为命令不清楚，我只能用思科表示，ip route 0.0.0.0 0.0.0.0 接口（三层交换与深信服直连的那个接口）下一条ip（深信服lan口地址），之后在深信服设备里面，有部署模式这个模块，那里面有配置vlan的那一步，其实如果三层里面跑的是trunk的话才会设置，如果三层开启了路由功能，就是ip routing的话，那里面什么都不用配置，在静态路由那里面要添加回包路由，可以这样写，网段：192.168.0.0 掩码：255.255.0.0 网关：三层交换机与深信服设备连接那个口的ip地址，这样就可以了

三层交换机：
sys
ip route-static 0.0.0.0 0.0.0.0 深信服lan地址
深信服：
进WEB界面，部署模式路由模式，会设置eth2为wan地址，eth0为lan地址，DMZ地址不要改，NAT设置外网接口所有wan口，代理lan就上网，代理网段就是内网上网的网段
网络配置-静态路由，这里写内网网段，子网掩码，下一跳地址写交换机接口地址

额