主路由互相访问副路由

在构建多路由器网络环境时,主路由与副路由之间的互相访问是实现网络资源高效共享、业务无缝流转的关键，无论是家庭场景下跨路由访问NAS设备，还是企业环境中分支机构的互联互通，合理的配置都能打破网络壁垒，提升整体使用体验，本文将从场景需求、技术原理、配置方法及常见问题解决等维度，系统阐述主路由与副路由互相访问的实现逻辑与操作细节。

场景与需求：为何需要主路由与副路由互相访问

在复杂网络架构中,主路由通常作为核心网关，负责连接外网、分配内网IP、执行NAT转换等基础功能；副路由则承担信号覆盖扩展、子网隔离、负载均衡等延伸任务，二者互相访问的需求主要源于以下场景：

• 跨设备资源共享：家庭或办公场景中，主路由连接的NAS、打印机、服务器等设备，需被副路由下的终端（如手机、电脑）访问；
• 业务系统互通：企业分支机构中，主路由下部署的核心业务系统（如ERP、数据库），需允许副路由下的办公终端调用；
• 网络管理统一：管理员需通过主路由对副路由进行配置监控，或通过副路由远程访问主路由的管理界面；
• 冗余备份与负载均衡：在双主路由架构中，需实现路由器间的心跳检测与流量切换，确保网络高可用。

若缺少互相访问能力,副路由下的终端将无法直接访问主路由网络的资源，形成“信息孤岛”，极大限制网络的实用性。

基础认知：主路由与副路由的角色定位

要实现互相访问,需先明确二者的工作模式与网络角色，根据组网需求，副路由通常有以下三种模式：

1. 路由模式（独立网关）：副路由作为独立网关，连接主路由的LAN口，形成二级子网（如主路由192.168.1.0/24，副路由192.168.2.0/24），副路由需开启DHCP服务，终端通过副路由获取IP，访问主路由网络需通过静态路由或动态路由协议。
2. 网桥模式（透明桥接）：副路由关闭DHCP和NAT功能，仅作为二层交换设备扩展LAN口，与主路由形成同一网段，此模式下，终端可直接访问主路由网络，但副路由本身无独立管理能力。
3. AP模式（无线接入点）：副路由关闭DHCP和NAT，仅开启无线功能，通过LAN口连接主路由，相当于“无线交换机”，终端接入副路由WiFi后，与主路由终端处于同一网段，可直接访问主路由资源，但无法实现副路由有线端口的扩展。

互相访问的核心逻辑：无论哪种模式，主副路由需确保网络层（IP层）可达——即主路由知道如何到达副路由的网段（或终端IP），副路由也知道如何到达主路由的网段（或终端IP），这依赖于路由表的正确定义。

技术实现：核心配置方案详解

（一）路由模式下的静态路由配置

当副路由为路由模式（独立子网）时，需手动配置静态路由，实现跨网段互通，以主路由A（192.168.1.1）、副路由B（192.168.2.1）为例：

1. 主路由A配置：
   • 添加静态路由：目标网段为副路由B的LAN网段（192.168.2.0/24），下一跳为副路由B的WAN口IP（假设为192.168.1.100）， metric值设为1（优先级最高）。
   • 开启IP转发功能（Linux系统可通过echo 1 > /proc/sys/net/ipv4/ip_forward实现，商业路由器通常在“高级设置-IP转发”中开启）。
2. 副路由B配置：
   • 添加静态路由：目标网段为主路由A的LAN网段（192.168.1.0/24），下一跳为主路由A的LAN口IP（192.168.1.1），metric值设为1。
   • 关闭副路由B的NAT功能（若需主路由网络访问副路由终端）或保持开启（若仅需单向访问）。
3. 终端验证：副路由B下的终端（如192.168.2.100）ping主路由A的LAN口IP（192.168.1.1），若通，则说明路由可达；再ping主路由A下的终端（如192.168.1.100），需确保主路由A开启了允许内网通信的防火墙策略。

（二）动态路由协议实现自动学习

对于中大型网络（如企业分支机构），手动配置静态路由效率低且易出错，可部署动态路由协议（如OSPF、RIP），以OSPF为例：

1. 主副路由启用OSPF：在主路由A和副路由B上启用OSPF进程，宣告直连网段（主路由A宣告192.168.1.0/24，副路由B宣告192.168.2.0/24）。
2. 配置区域ID：将主副路由划分到同一OSPF区域（如Area 0），确保路由信息能直接传递。
3. 验证路由表：通过display ip routing-table（华为）或show ip route（Cisco）命令，查看路由表中是否包含对端网段的路由条目。

动态路由协议的优势在于网络拓扑变化时（如副路由WAN口IP变更），路由表能自动更新，无需人工干预。

（三）VLAN划分与三层互通

在需要严格隔离业务流量的场景（如办公网络与访客网络分离），可通过VLAN划分实现逻辑隔离，再通过三层路由实现互通：

1. 主路由配置Trunk口：将主路由连接副路由的端口设置为Trunk模式，允许多个VLAN通过（如VLAN 10为办公网，VLAN 20为访客网）。
2. 副路由配置子接口：在副路由上创建VIF接口（如VLAN 10对应VIF 10，VLAN 20对应VIF 20），并配置IP地址作为各VLAN的网关。
3. 路由互通：在主路由上添加到副路由各VLAN网段的路由，或通过OSPF等协议动态学习。

此方案既能实现业务隔离,又能按需互通，适用于对安全性要求较高的场景。

实践步骤：以OpenWrt与企业路由器为例

（一）家庭场景：OpenWrt主路由 + 副路由路由模式

1. 主路由（OpenWrt）配置：
   • LAN口IP设置为192.168.1.1，DHCP地址池192.168.1.100-192.168.1.200；
   • 进入“网络-静态路由”，添加目标：192.168.2.0/24，网关：副路由WAN口IP（如192.168.1.2），设备：br-lan；
   • 开启“网络-防火墙-转发-允许已建立的相关连接”。
2. 副路由（普通路由器）配置：
   • WAN口设置为DHCP模式,获取主路由分配的IP（如192.168.1.2）；
   • LAN口IP设置为192.168.2.1，DHCP地址池192.168.2.100-192.168.2.200；
   • 添加静态路由：目标192.168.1.0/24，网关192.168.1.1；
   • 关闭“NAT转发”（若需主路由访问副终端）或保持开启（仅副终端访问主路由）。
3. 验证：副路由下终端ping 192.168.1.1，成功后访问主路由连接的NAS（如192.168.1.10）。

（二）企业场景：华为AR系列主路由 + S系列交换机+副路由

1. 主路由（AR6120）配置：
   • 创建接口GigabitEthernet0/0/1，IP 192.168.1.1/24；
   • 配置静态路由：ip route-static 192.168.2.0 255.255.255.0 192.168.1.2（下一跳为交换机管理IP）；
   • 开启IP转发：undo firewall packet-filter default。
2. 交换机（S5735-L）配置：
   • 创建VLAN 10（办公网）、VLAN 20（副路由网）；
   • 将连接副路由的端口加入VLAN 20，配置接口VIF 20，IP 192.168.1.2/24；
   • 连接主路由的端口设置为Trunk,允许VLAN 10、20通过。
3. 副路由（AR1220）配置：
   • WAN口IP 192.168.1.3/24（从VLAN 20获取）；
   • LAN口IP 192.168.2.1/24，DHCP关闭；
   • 配置静态路由：ip route-static 0.0.0.0 0.0.0.0 192.168.1.2（默认指向交换机），ip route-static 192.168.1.0 255.255.255.0 192.168.1.2（指向主路由）。

避坑指南：常见问题与解决策略

1. 子网冲突导致无法互通：

   • 现象：主副路由LAN网段相同（如均为192.168.1.0/24），终端获取IP后无法跨路由通信。
   • 解决：修改副路由LAN网段为不同网段（如192.168.2.0/24），并配置静态路由。

2. DHCP服务冲突：

   • 现象：副路由开启DHCP后，与主路由DHCP地址池重叠，终端IP冲突。
   • 解决：路由模式下，副路由需开启DHCP但地址池与主路由隔离；AP/网桥模式下，副路由必须关闭DHCP。

3. 防火墙拦截路由流量：

   

   • 现象：路由配置正确，但ping不通，抓包发现ICMP包被丢弃。
   • 解决：检查主副路由防火墙策略，允许ICMP协议（用于ping测试）和跨网段转发流量（如OpenWrt的“允许来自局域网的包转发”）。

4. NAT模式影响互通：

   • 现象：副路由开启NAT后，主路由终端无法访问副终端的私有IP（如192.168.2.100）。
   • 解决：若需双向互通，副路由应关闭NAT（此时副终端通过主路由静态路由访问外网）；若仅需副终端访问主路由，可保持副路由NAT开启。

FAQs

Q1：主副路由LAN网段相同，无法互相访问怎么办？
A：需修改副路由LAN网段，避免与主路由冲突，主路由LAN为192.168.1.1/24，副路由LAN可改为192.168.2.1/24，然后在主路由添加静态路由（目标192.168.2.0/24，下一跳副路由WAN口IP），副路由添加静态路由（目标192.168.1.0/24，下一跳主路由LAN口IP），并确保双方开启IP转发和防火墙允许跨网段转发。

Q2：副路由设置为AP模式后，为什么无法访问主路由的管理界面？
A：AP模式下，副路由关闭DHCP和NAT，其LAN口IP需与主路由同网段（如192.168.1.2），且关闭DHCP服务，若无法访问主路由管理界面（如192.168.1.1），需检查：①副路由LAN口IP是否与主路由同网段且不冲突；②副路由是否通过LAN口（而非WAN口）连接主路由；③主路由防火墙是否阻止副路由的访问请求（如关闭了ICMP或特定端口的入站规则）。