前言：

网络已经成为企业不可或缺的一部分，而华为路由器作为网络设备的代表之一，可以提供稳定的网络连接和丰富的网络管理功能，以满足企业的需求。其中，配置多个网段同时上网是企业级华为路由器常见的需求之一。在本篇文章中，我将介绍如何配置企业级华为路由器，实现多个网段同时上网的方法和步骤，以帮助有这方面需求或感兴趣的友友们，更好地学习和了解企业级的网络。

实验环境：

1）假设我们有两个 VLAN，VLAN10 和 VLAN20，

2）分别对应的网段是 192.168.10.0/24 和 192.168.20.0/24。

3）ISP供应商的 IP 地址是202.100.1.1,我们两条专线的ip分别为 202.100.1.2 和202.100.1.3

4）我们想要使得它们可以同时通过各自的专线访问公网。

详细过程：

为了实现多个网段同时上网，我们需要进行以下步骤：

1、VLAN 划分：将不同的网段划分到不同的 VLAN 中，使得它们可以互相访问，但不与其他 VLAN 内的设备通信。

2、创建 ACL 规则：定义允许或禁止不同 VLAN 内的设备之间的通信。这可以通过创建访问控制列表（ACL）来实现。

3、配置 NAT 转换：将 VLAN 内的私有 IP 地址转换为各自专线的 IP 地址，使得它们可以访问公网。

接下来，我将通过一个实例来详细说明，如何配置企业级华为路由器实现多个网段同时上网。

1、VLAN 划分

首先，我们需要创建 VLAN，并将不同的接口分配给它们。在本例中，我们将 Ethe.NET 0/0/1 接口分配给 VLAN10，将 Ethernet 0/0/2 接口分配给 VLAN20。

登录路由器后，进入系统视图：

<Huawei> system-view

创建 VLAN10 和 VLAN20：

[Huawei] vlan batch 10 20

将接口分配给 VLAN：

[interface GigabitEthernet0/0/1] port link-type access
[interface GigabitEthernet0/0/1] port default vlan 10
[interface GigabitEthernet0/0/2] port link-type access
[interface GigabitEthernet0/0/2] port default vlan 20

2、创建 ACL 规则

接下来，我们需要创建 ACL 规则来控制 VLAN10 和 VLAN20 之间的通信。我们将允许 VLAN10 和 VLAN20 内的设备访问公网，但不允许它们之间直接通信。

首先，创建 ACL：

[huawei] acl number 2000
[huawei-acl-basic-2000] rule permit ip source 192.168.10.0 0.0.0.255
[huawei-acl-basic-2000] rule permit ip source 192.168.20.0 0.0.0.255
[huawei-acl-basic-2000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[huawei-acl-basic-2000] rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

[huawei] acl number 2001
[huawei-acl-basic-2001] rule permit ip source 192.168.10.0 0.0.0.255
[huawei-acl-basic-2001] rule permit ip source 192.168.20.0 0.0.0.255
[huawei-acl-basic-2001] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[huawei-acl-basic-2001] rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

上述命令创建了一个编号为 2000 的 ACL，其中第一条规则允许 VLAN10 和 VLAN20 内的设备访问公网，第二条规则禁止 VLAN10 和 VLAN20 内的设备直接通信，第三条和第四条规则分别禁止 VLAN10 和 VLAN20 内的设备直接访问对方的网段。

其次，将 ACL 应用到 VLAN10 和 VLAN20 上：

[huawei] vlan 10
[huawei-vlan10] quit
[huawei] vlan 20
[huawei-vlan20] quit
[huawei] interface vlanif 10
[huawei-Vlanif10] ip address 192.168.10.1 24
[Huawei-Vlanif10] acl 2000 inbound
[huawei-Vlanif10] quit
[huawei] interface vlanif 20
[huawei-Vlanif20] ip address 192.168.20.1 24
[Huawei-Vlanif20] acl 2000 inbound
[huawei-Vlanif20] quit

上述命令将 ACL 应用到 VLAN10 和 VLAN20 的 VLAN 接口上。

3、我们来配置两个外围接口专线的ip地址：

[huawei] interface gigabitethernet 3/0/0
[huawei-GigabitEthernet3/0/0] ip address 202.100.1.2 24    
[huawei-GigabitEthernet3/0/0] quit

[huawei] interface gigabitethernet 3/0/1
[huawei-GigabitEthernet3/0/1] ip address 202.100.1.3 24    
[huawei-GigabitEthernet3/0/1] quit

4、配置缺省路由：

我们在配置缺省路由，指定下一跳地址为202.100.1.1

[huawei] ip route-static 0.0.0.0 0.0.0.0 202.100.1.1 

5、配置 NAT 转换：

最后，我们需要配置 NAT 转换，将 VLAN10 和 VLAN20 内的私有 IP 地址转换为各自公共 IP 地址，以便它们可以访问公网。

假设与我们路由相连的ISP供应商的 IP 地址是 202.100.1.1，将 VLAN10 的私有 IP 地址转换为 202.100.1.2，将 VLAN20 的私有 IP 地址转换为 202.100.1.3。我们可以使用以下命令进行配置：

[huawei] nat address-group 1 202.100.1.2 
[huawei] nat address-group 2 202.100.1.3 

[huawei] interface gigabitethernet 3/0/0
[huawei-GigabitEthernet3/0/0] nat outbound 2000 address-group 1  no-pat
#[huawei-GigabitEthernet3/0/0] nat outbound 2001 address-group 2  
[huawei-GigabitEthernet3/0/0] quit

[huawei] interface gigabitethernet 3/0/1
[huawei-GigabitEthernet3/0/0] nat outbound 2001 address-group 2 
[huawei-GigabitEthernet3/0/0] quit

上述命令是将 NAT 应用到 ACL 2000 和2001上，并将 VLAN10 和 VLAN20 的私有 IP 地址转换为各自公网 IP 地址。

现在，我们已经完成了华为路由器的配置，使得 VLAN10 和 VLAN20 内的设备可以同时访问公网，但不允许它们直接通信。