一般公司会发布一个自己公司的服务器，还有让部分领导的机器可以上网，员工的电脑不能上网只能连接公司服务器工作。以下设置按照此背景进行。

绿色部分为公网（运营商），红色部分为公司路由（公私网连接部分），黄色部分为内部私网。

绿色部分涉及的命令，在服务器添加ip 8.8.8.8，电脑ip 192.168.4.1，设置公网端路由两个端口分别使用 ip address 命令添加网关，设置与用户连接的端口ip 64.1.1.10.

黄色部分私网部署vlan 20，vlan30，vlan40，vlan50

这个位置部署vlan20，30

涉及命令，vlan batch 20 30（创建vlan），port link-type access（连接模式），port default vlan xx（vlan的序号如20，30），port link-type trunk（设备与设备连接的类型），port trunk allow-pass vlan all（允许通过端口的设置）

配置核心交换机创建vlan，命令vlan batch 10 20 30 40 50 ，分别配上ip作为设备网关192.168.8.254，192.168.9.254，192.168.10.254，172.168.100.254

核心交换机查询端口ip 设置命令display ip int brief

配置dns服务器，在核心交换机与服务器的出接口输入命令port link-type access，port default vlan 40.接着服务器配好ip 172.168.100.1.接着联通

打开核心交换机dhcp功能，让下面设备可以自动获取ip，同时配通用户与服务器的连接，输入命令dhcp enable ，进入vlan 接口 interface vlan 10，dhcp select interface。配置dns服务器 dhcp server dns-list 172.168.100.1。vlan 20 vlan30 使用同样的配置方法。

设备dhcp已经启动

服务器已经可以与设备连接

私网内网部分基本完成配置。

配置红色部分路由器到公网

根据供应商的给的ip在路由器上配置出口g0/0/1，输入 ip address 64.1.1.1 255.255.255.0。另外一边g0/0/0，输入IP address 10.10.10.254 255.255.255.0 作为私网接路由器的网关。现在核心交换机与路由已经联通。

核心交换机与路由器连接需要使用access模式，因为捆绑了vlan50ip，因此路由器等于一台电脑，输入命令port link-type access，port default vlan 50

接着设置路由策略让核心交换机下一跳，输入命令ip route-static 0.0.0.0 0.0.0.0 10.10.10.254，给外网ip的包都交给10.10.10.254这个出口

设备路由器路由策略，外网的包出去的设置，输入命令ip route-static 0.0.0.0 0.0.0.0 64.1.1.10，外网回包到电脑输入命令ip route-static 192.168.0.0 24 10.10.10.6，外网回包到服务器ip route-static 172.168.100.1 24 10.10.10.6.

现在ping 64.1.1.10还是不通的

需要配置nat转换

做acl控制，因为是转外网使用basic模式

输入命令 acl name ww basic（进入设置模式）

输入命令rule permit source 192.168.0.0 0.0.255.255

做内网转换外网的公网ip池

输入命令nat address-group 1 64.1.1.5 64.1.1.5

配置值nat转换，输入调用acl规则和ip池，nat outbound 2999 address-group 1

配置完成下方的设备可以ping通8.8.8.8

配置基本完成。

但是有部分公司是不给员工上网的，

需要在外网进来路由器后的出口设置过滤

做acl控制

输入命令 acl name bgsw basic进入设置，再输入rule deny source 192.168.10.0 0.0.0.255（打工人的电脑）

再到进来的接口int g0/0/0，输入traffic-filter inbound acl 2998

现在员工的电脑无法上外网了。