華為USG6305E安裝調(diào)試初步完成，拓?fù)鋱D如下：

新增加的ADSL，電信已經(jīng)安裝到位，并且已經(jīng)開通，那就該輪到我們上場(chǎng)了，今天的任務(wù)是：（1）戴爾R730服務(wù)器格式化——被黑客當(dāng)過肉雞的系統(tǒng)，實(shí)在是不敢再用了，于是格式化——安裝Proxmox VE，再安裝windows Server 2019，然后就等著做網(wǎng)站的人重新部署網(wǎng)站；這部分咱就不寫了，之前的文章都有。

（2）將WIFI配置為通過新安裝的ADSL上網(wǎng)，其他不變；

更改TP-Link TL-ER3210G的配置：

看了一下，一共有15個(gè)AP，但是我們?cè)趺凑遥粗荒苷业?個(gè)，剩下的，居然沒人知道哪里，時(shí)間緊迫，先配置了再說，真有問題，上不了的人肯定會(huì)叫我們。

本來想劃個(gè)VLAN的，結(jié)果看到交換機(jī)，尤其是分機(jī)柜里面的交換機(jī)，只能打消這個(gè)念頭了，該怎么把無線網(wǎng)段區(qū)分出來呢？主機(jī)房里就一臺(tái)主交換機(jī)和一臺(tái)POE交換機(jī)，不可能單獨(dú)把無線AP獨(dú)立成一個(gè)網(wǎng)絡(luò)，思前想后，決定新建一個(gè)SSID，把這個(gè)SSID綁定到VLAN2，然后VLAN2的接口，網(wǎng)線連接到防火墻，小小改造解決大問題了，如下圖所示

1、TP-Link TL-ER3210G，是原來的主路由器，現(xiàn)在降級(jí)成AC控制器來使用了，VLAN1的IP為192.168.1.2； 首先要?jiǎng)?chuàng)建一個(gè)VLAN2

2、為VLAN2劃分端口

3、為VLAN2配置DHCP服務(wù)

4、為VLAN2配置SSID

看到這里，有的網(wǎng)友會(huì)問，為什么要新建一個(gè)SSID呢？直接把現(xiàn)在的SSID劃到VLAN2不行嗎？答案是，如果直接改，肯定會(huì)影響用戶使用，導(dǎo)致客戶體驗(yàn)不佳，所以我們打算配置完成上，在晚上切換：把原來的SSID名稱改掉，然后新建的SSID名稱改成原來的就行了，客戶第二天上班的時(shí)候，就無感知切換了。

修改光貓的網(wǎng)段

電信的安裝師傅，把光貓配置成了路由模式，而且網(wǎng)段同樣是192.168.1.0/24，與防火墻在同一網(wǎng)段，這顯然會(huì)引起NAT問題，于是首先必須得修改光貓的網(wǎng)段，然后才能把光貓接入防火墻的Wan0/0/1接口，本來把光貓改成橋接模式的，但是叫電信師傅過來要時(shí)間，自己破解也要時(shí)間，沒那么多時(shí)間折騰，就簡(jiǎn)單點(diǎn)吧，改個(gè)網(wǎng)段最方便了——背面有一般帳戶和密碼，雖然這個(gè)用戶名和密碼極限很低，但是改個(gè)網(wǎng)段還是可以的

華為防火墻USG6305E的進(jìn)一步配置

1、將GE0/0/2接口的安全區(qū)域配置為trust，并且設(shè)置IP地址為192.168.2.1/24

2、將WAN0/0/1接口的安全區(qū)域配置為untrust，并且設(shè)置IP地址為192.168.11.254/24

3、配置一條策略路由，使192.168.2.0/24，從ADSL出去

4、配置NAT策略，網(wǎng)段192.168.2.0/24的出接口為Wan0/0/1

5、上面圖中，可以直接生成安全策略，這是新版的軟件才有的，以前都得自己配置安全策略，現(xiàn)在能直接生成，方便多了

注意，這里應(yīng)該把防病毒和入侵防御配上，如果你購買了授權(quán)的話。

——筆者為網(wǎng)絡(luò)工程師，擅長(zhǎng)計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，創(chuàng)業(yè)多年，希望把自己的經(jīng)驗(yàn)分享給大家，覺得有用的，可以關(guān)注、點(diǎn)贊、轉(zhuǎn)發(fā)，如有相同或者不同觀點(diǎn)，歡迎評(píng)論。最近在“櫥窗”上了一些精選商品和書籍，歡迎品評(píng)，謝謝！