百威平台-登录网址客户诉求：1、ERP服务器使用专线连接外网，且需要被外网访问，便于高管随时用手机审批；2、有线网络和WIFI划分为不同的VLAN，并且分别用两宽带上网。

　　这个需要很简单，其实WIFI至少应该分为办公用和访客用，访客只允许访问外网，而禁止访问内网，但是客户说了不需要，那咱们就按照客户的简单要求来完成了，拓扑如下：

　　从上图可以看出：爱快路由器上连三条链路，1和2是两条普通的拨号宽带，3是固定IP的城域网，爱快路由器下连核心交换机：锐捷RG-NBS5710-24GT4SFP-E，而核心旁挂一台AC控制器，且下连着三台锐捷RG-NBS3100-24GT4SFP二层交换机，用来接入电脑及其他网络设备，当然也连接了几个无线AP。

　　关于无线网线的配置，不在本文讨论范围，需要的朋友，可以翻看笔者前面的文章，不便之处敬请谅解。

　　是的，你没看错，光猫也是需要配置的，首先，用笔记本电脑连接光猫网口，获取到IP后，打开登录页面，记住选择“快速装维入口”，再用背面的普通用户登录

　　登录后，依次点击“状态”“配置向导”“桥接方式，PC自己拨号获取IP上网”，很遗憾，第二条普通拨号是新安装的，设备比较新，我们没找到登录页面上有“快速装维入口”，直接登录后，找了半天，也没发现哪里可以改为“桥接模式”，幸运的是，光猫背面有安装师傅的手机号码，拨打后，说明来意，十五分钟内远程修改为“桥接模式”了，还挺快的，为电信安装师傅点赞。

　　1、第一条拨号宽带的配置：点Wan1，绑定网卡，输入宽带帐号密码，点保存即可，只要输入无误，很快就能连上网。在此，顺便再次吐槽一下100段大内网；

　　2、第二条宽带配置方法是一样的，换个帐号密码而已，果然也是100段大内网，衰……

　　3、固定IP的城域网配置：点Wan3，绑定网卡，接入方式选择静态IP，然后填写IP地址、子网掩码、网关；注意，“将此线路设置为默认网关”，点保存即可

　　4、静态路由的配置：这里其实是配置回程路由，对应核心交换机里面的默认路由，需要配置两条：一条是去192.168.1.0/24（有线网络），一条是去无线

　　注意，目的地址必须填写为网络号，子网掩码255.255.255.0，表示整个网段，网关192.168.11.2，准确来说，应该称为“下一跳”，它是路由器Lan口连接的核心交换机的三层接口的IP地址。

　　服务器（192.168.1.2-192.168.1.20，其实暂时没那么多服务器，预留一下为好）走固定IP的城域网

　　192.168.1.21-192.168.1.254，走第二条宽带，操作同1，就不贴图了。总之，分流配置完成以后，就是下图所示：

　　6端口映射，为了使服务器上相应的服务，能在互联网上被访问，我们必须要配置端口映射，举例如下：

　　注意：为安全起见，外网端口建议不采用实际的服务端口，图中9002为非常用端口，改不改无所谓了，但是像远程桌面3389这种端口，早就已经是高危、高风险了，所以强烈建议修改为自定义的端口，不让黑客轻易摸上门。

　　no switchport //1口上连路由器，配置为三层口，并且配置IP地址

　　三层交换机是在二层交换机的基础上，增加了路由选择功能的网络设备，能够基于 ASIC 和 FPGA 实现网络功能和转发分组。二层交换机能够基于数据链路层的 MAC 地址，进行数据帧或 VLAN 的传输功能。三层交换机能够基于网络层的 IP 地址，实现路由选择以及分组过滤等功能。

　　上篇文章已经说到，在二层交换机上设置多个 VLAN 后，单台交换机内，数据帧只能在相同 VLAN 内转发，不能在不同 VLAN 之间转发。当需要在多个 VLAN 之间转发数据时，一般会使用 trunk link 连接路由器，通过路由器进行 VLAN 之间的路由选择。三层交换机能够在交换机内部直接完成 VLAN 之间的路由选择。所以三层交换机不需要其它网络设备，能够直接完成不同 VLAN 之间的通信。

　　三层交换机与路由器的不同：三层交换机一般只支持以太网的数据链路层协议和 IP 网络的网络层协议，路由器的物理层和数据链路层除了 IEEE 802 标准以外，还支持其它各种协议，包括 ATM、SDH、串口等。网络层和传输层也一样，支持 TCP/IP 协议簇以外的协议簇，比如 IPX 、AppleTalk 等。这些功能都是由运行在 CPU 上的软件来完成，对比三层交换机，速度会慢不少，但是也有很多功能必须由路由器 CPU 来处理，比如远程接入、安全功能等。

　　开始实验之前，我们先来了解一下SVI（交换机虚拟接口 Switch Virtual Interface，SVI）：代表一个由交换端口构成的VLAN（其实就是通常所说的VLAN接口），以便于实现系统中路由和桥接的功能。一个交换机虚拟接口对应一个VLAN，当需要路由虚拟局域网之间的流量或桥接VLAN之间不可路由的协议，以及提供IP主机到交换机的连接的时候，就需要为相应的虚拟局域网配置相应的交换机虚拟接口，其实SVI就是指通常所说的VLAN接口，只不过它是虚拟的，用于连接整个VLAN，所以通常也把这种接口称为逻辑三层接口，也是三层接口。SVI接口的用途就是为VLAN间提供通信路由。

　　下面我们来做一个简单的三层交换机配置SVI实现VLAN间路由的实验，实验拓扑如图3-1所示：

　　实验思路:三台PC机分处三个不同vlan，且IP地址与网关均已给出，在二层交换机上分别创建vlan，并将端口分别加入到vlan内，将与三层交换机相连接的端口设置为trunk口，在三层交换机上分别创建vlan，并进入各vlan的虚拟接口内，分别设置IP地址，此IP地址即为各PC机的网关，在配置模式下开启路由功能（思科开启命令：ip routing；大多数三层交换机默认情况下路由功能关闭，需要手动开启）并将三层交换机与二层交换机相连的接口配置为trunk口（思科三层交换机配置trunk口需要先对端口进行dot1q协议封装：思科三层交换机默认封装了auto【即自动协商起acess端口还是起trunk端口】，而你要强行trunk必须要封装一个具体的协议如：802.1Q或者ISL。而一般二层只支持封装一种，默认就封装了802.1Q或者ISL，所以就无需再手动封装。）代码如下：

　　举例：很简单的一个实例，两个vlan的计算机通过一个支持路由功能的交换机（三层交换机）实现通信，下面是拓扑图。

　　1、首先要划分vlan，同时把IP和网关划分出来，这样提前部署好配置起来也方便，更加重要的是方便日后好维护。

　　先选择【接口管理的启用】，接着配置IPv4的静态IP，按照自己划分的网络配置进去，然后点击【启用】，最后点击右上角的叉号。第二个电脑同样步骤，修改网络配置就好了。

　　双击三层交换机或者鼠标右键【启动命令行终端】，等一会儿，这个反应时间和电脑的性能有关系。