客戶訴求：1、ERP服務器使用專線連接外網，且需要被外網訪問，便于高管隨時用手機審批；2、有線網絡和WIFI劃分為不同的VLAN，并且分別用兩寬帶上網。

這個需要很簡單，其實WIFI至少應該分為辦公用和訪客用，訪客只允許訪問外網，而禁止訪問內網，但是客戶說了不需要，那咱們就按照客戶的簡單要求來完成了，拓撲如下：

從上圖可以看出：愛快路由器上連三條鏈路，1和2是兩條普通的撥號寬帶，3是固定IP的城域網，愛快路由器下連核心交換機：銳捷RG-NBS5710-24GT4SFP-E，而核心旁掛一臺AC控制器，且下連著三臺銳捷RG-NBS3100-24GT4SFP二層交換機，用來接入電腦及其他網絡設備，當然也連接了幾個無線AP。

關于無線網線的配置，不在本文討論范圍，需要的朋友，可以翻看筆者前面的文章，不便之處敬請諒解。

秉承著自上而下的原則，配置過程及方法如下：

一、光貓的配置

是的，你沒看錯，光貓也是需要配置的，用筆記本電腦連接光貓網口，獲取到IP后，打開登錄頁面，記住選擇“快速裝維入口”，再用背面的普通用戶登錄

登錄后，依次點擊“狀態”>“配置向導”>“橋接方式，PC自己撥號獲取IP上網”。很遺憾，第二條普通撥號是新安裝的，設備比較新，我們沒找到登錄頁面上有“快速裝維入口”，直接登錄后，找了半天，也沒發現哪里可以改為“橋接模式”，如果要破解telecomadmin帳號，那太費事兒了，幸運的是，光貓背面有安裝師傅的手機號碼，撥打后，說明來意，十五分鐘內遠程修改為“橋接模式”了，還挺快的，為電信安裝師傅點贊。

二、愛快路由器的配置：

Lan口默認為192.168.1.1，為避免與光貓IP沖突，修改為192.168.11.1。

1、第一條撥號寬帶的配置：點Wan1，綁定網卡，輸入寬帶帳號密碼，點保存即可，只要輸入無誤，很快就能連上網。在此，順便再次吐槽一下100段大內網；

2、第二條寬帶配置方法是一樣的，換個帳號密碼而已，果然也是100段大內網，衰……

3、固定IP的城域網配置：點Wan3，綁定網卡，接入方式選擇靜態IP，然后填寫IP地址、子網掩碼、網關；注意，“將此線路設置為默認網關”，點擊保存即可

4、靜態路由的配置：這里其實是配置回程路由，對應核心交換機里面的默認路由，需要配置兩條：一條是去192.168.1.0/24（有線網絡），一條是去無線網絡192.168.3.0/24

注意，目的地址必須填寫為網絡號，子網掩碼255.255.255.0，表示整個網段，網關192.168.11.2，準確來說，應該稱為“下一跳”，它是路由器Lan口連接的核心交換機的三層接口的IP地址。

5、端口分流配置，也就是說指定不同的網段走不同的寬帶：

服務器（192.168.1.2-192.168.1.20，其實暫時沒那么多服務器，預留一下為好）走固定IP的城域網

192.168.3.0/24，WiFi網段走第一條寬帶，如下圖所示：

192.168.1.21-192.168.1.254，走第二條寬帶，操作同1，就不貼圖了。分流配置完成以后，就是下圖所示：

6、端口映射，為了使服務器上相應的服務，能在互聯網上被訪問，我們必須要配置端口映射，舉例如下：

注意：為安全起見，外網端口建議不采用實際的服務端口，圖中9002為非常用端口，改不改無所謂了，但是像遠程桌面3389這種端口，早就已經是高危、高風險了，所以強烈建議修改為自定義的端口，不讓黑客輕易摸上門。

三、核心交換機的配置

service dhcp //開啟DHCP服務

!

ip dhcp pool 101 //配置DHCP地址池——有線網段

lease 0 8 0

network 192.168.1.0 255.255.255.0 192.168.1.21 192.168.1.240

dns-server 192.168.1.9 61.177.7.1

default-router 192.168.1.1

!

ip dhcp pool 103 //配置DHCP地址池——無線網段

lease 0 8 0

network 192.168.3.0 255.255.255.0 192.168.3.21 192.168.3.240

dns-server 192.168.1.9 61.177.7.1

default-router 192.168.3.1

!

ip name-server 114.114.114.114 //配置DNS服務器

!

vlan range 101,103 //創建vlan101（有線）和103（無線）

!

interface GigabitEthernet 0/1

no switchport //1口上連路由器，配置為三層口，并且配置IP地址

ip address 192.168.11.2 255.255.255.0

!

interface VLAN 101 //配置VLAN101的接口IP地址

ip address 192.168.1.1 255.255.255.0

!

interface VLAN 103 //配置VLAN101的接口IP地址

ip address 192.168.3.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.11.1 //配置默認路由，上外網從1口出去，網關地址192.168.11.1就是路由器的LAN口IP地址

enable service web-server http //開啟核心交換機的WEB管理，然后用瀏覽器登錄交換機，把端口劃分到相應的VLAN，在WEB頁面操作會非常的方便。

二層交換機配置，略，無非是把創建VLAN，把端口劃入VLAN，上聯口配置為trunk模式。

全部配置完成后， 別忘記保存，并且把各個設備的配置文件導出保存一份，哪天設備有問題的時候，直接導入即可。