三观尽毁：三层交换机支持NAT了？亲测WA5530配置NAT+PPPoE

我之前在H3C的时候，累计处理了差不多3000个问题工单，其中有一部分用户比较关心的一个问题，那就是交换机和AP能不能当路由器使用。其实这也是工程师接触网络设备时必须要区分的一个概念问题，为什么会有二层交换机、三层交换机和路由器这些东西？

这还得从网络发展说起，如果世界上所有的主机都在一个网段，那么只需要二层交换机就可以了。但是这样的话，广播域就太大了，需要使用带网关的三层交换机或路由器来转发报文；也就是说，如果地址足够多的话，整个世界的网络将是一张巨大无比的树型网络。

但是，因为IPv4地址紧张的问题，互联网工程师们在1995年提出了IPv6的伟大设想（），但是落地周期比较漫长，只能先使用过渡的NAT方案，这就需要网络设备支持NAT功能，这个重担就落在了路由器身上。

所以，我们一般讲路由器和交换机的核心区别就是路由器支持NAT功能，而交换机不支持，路由器也因NAT/PPPoE成为上网核心设备。

说来也巧，前段时间在处理问题时，我发现有部分三层交换机竟然支持配置NAT相关的命令，但是配置之后不生效。同样的，AP也可以视作带无线功能的交换机，之前客户问AP能不能当做家用路由器来使用时，我们都是答复不可以，因为缺少NAT功能。

但现在不一样了，我又在AP命令行中看到了NAT命令，还有PPPoE拨号相关的命令，颠覆网络工程师认知的产品他来了，让我们看看现在AP到底能不能当家用无线路由器用。

一般来讲，WAN口都需要使用三层路由接口，对于二层交换接口，一般使用命令port link-mode route来切换。

我们再从WA5530操作一下。

情况不妙，有线接口不支持切换为三层路由接口，那么上行口就得用VLAN虚接口了，我们再试试VLAN虚接口能不能配置NAT。

不错，VLAN虚接口能直接配置NAT。但是现在AP作为网关，需要和内网区分开，那就要用到新的VLAN（），并且启用DHCP（）。

#vlan 10#interface Vlan-interface10 ip address 172.16.10.1 255.255.255.0# dhcp enable#dhcp server ip-pool vlan10 gateway-list 172.16.10.1 network 172.16.10.0 mask 255.255.255.0 dns-list 223.5.5.5 8.8.8.8

然后，我们再创建一个新的无线服务模板，绑定业务VLAN到VLAN 10。

#wlan service-template vlan10 ssid AP-NAT vlan 10 akm mode psk preshared-key pass-phrase simple tiejunge cipher-suite ccmp cipher-suite tkip security-ie rsn security-ie wpa

接下来，我们需要手工将服务模板绑定到射频口上。

#interface WLAN-Radio1/0/1 service-template vlan10 channel band-width 160 mimo 4x4

绑定之后再使能无线服务模板。

#wlan service-template vlan10 service-template enable

最后，如果我们要让网络可用，还需要调整一下VLAN虚接口这个WAN接口的地址配置，比如设置成DHCP自动获取地址。

#interface Vlan-interface1 ip address dhcp-alloc

现在AP已经联网了，到这里AP配置就结束了，我们测试一下终端能否正常上网。

没有问题，获取到了地址池的IP地址，连接速度1733 Mbps，访问互联网正常。

当然，也可以配置PPPoE拨号，同样需要将拨号客户端绑定到VLAN虚接口上。

#interface dialer 1 dialer bundle enable ppp pap local-user 18810881088 password simple 881088 ip address ppp-negotiate ppp ipcp dns request dialer timer idle 0 dialer timer autodial 20#interface Vlan-interface1 pppoe-client dial-bundle-number 1#ip route-static 0.0.0.0 0 Dialer 1