1  配置需求或说明

1.1         适用产品系列

本案例适用于 ER3200G3 系列、ER3260G3 系列、ER5200G3 系列。

1.2         配置需求及实现的效果

路由器作为企业网络的出口路由器，要实现 WAN 口自动获取上网，路由器上创建了两个内网网段，分别为192.168.1.0/24,192.168.2.0/24，1网段的用户可以上网，2网段的用户不能上网。注意：WAN 口自动获取的网段不能和内网网段 192.168.1.1/24 冲突，否则会导致内网无法上外网。

2 组网图

1   配置步骤

1.1         登录设备

#登陆 WEB 管理页面（默认情况下，登陆地址为 192.168.1.1/24，登陆用户名为 admin，登陆密码为 admin），

1.2         配置外网以及内网地址池

1、网络设置—外网配置—WAN配置

  2、网络设置—LAN配置---vlan配置，创建内网vlan1 vlan2并开启地址池

              3、路由器lan1口连接交换机，将lan1口放通对应vlan

                    网络设置---LANP配置---VLAN划分

             4、交换机上的操作

              #

interface Bridge-Aggregation4

 port link-type trunk

 port trunk permit vlan all

 link-aggregation mode dynamic

#

interface GigabitEthernet1/0/3

 port access vlan 2

#

interface GigabitEthernet1/0/4

#

1.3         限制内网上网

要求vlan1用户可以上网，vlan2用户不可上网

1、通过防火墙实现

【网络安全】---【防火墙】--【开启防火墙】--【添加】

【源地址分组】--【新增地址组】，按照以下添加好以后点击确定

1.4         结果验证

1、vlan1的用户上网正常，vlan2的用户无法上网

3.5    保存配置

       自动保存配置