接着上一篇文章往下写，还是苏州某木业企业，华为安装调试初步完成，拓扑图如下：

新增加的ADSL，电信已经安装到位，并且已经开通，那就该轮到我们上场了，今天的任务是：（1）戴尔R730服务器格式化——被黑客当过肉鸡的系统，实在是不敢再用了，于是格式化——安装 VE，再安装 2019，然后就等着做网站的人重新部署网站；这部分咱就不写了，之前的文章都有。

（2）将WIFI配置为通过新安装的ADSL上网，其他不变；

更改TP-Link TL-的配置：

看了一下，一共有15个AP，但是我们怎么找，即只能找到9个，剩下的，居然没人知道哪里，时间紧迫，先配置了再说，真有问题，上不了的人肯定会叫我们。

本来想划个VLAN的，结果看到交换机，尤其是分机柜里面的交换机，只能打消这个念头了，该怎么把无线网段区分出来呢？主机房里就一台主交换机和一台POE交换机，不可能单独把无线AP独立成一个网络，思前想后，决定新建一个SSID，把这个SSID绑定到VLAN2，然后VLAN2的接口，网线连接到防火墙，小小改造解决大问题了，如下图所示

1、TP-Link TL-，是原来的主路由器，现在降级成AC控制器来使用了，VLAN1的IP为192.168.1.2； 首先要创建一个VLAN2

2、为VLAN2划分端口

3、为VLAN2配置DHCP服务

4、为VLAN2配置SSID

看到这里，有的网友会问，为什么要新建一个SSID呢？直接把现在的SSID划到VLAN2不行吗？答案是，如果直接改，肯定会影响用户使用，导致客户体验不佳，所以我们打算配置完成上，在晚上切换：把原来的SSID名称改掉，然后新建的SSID名称改成原来的就行了，客户第二天上班的时候，就无感知切换了。

修改光猫的网段

电信的安装师傅，把光猫配置成了路由模式，而且网段同样是192.168.1.0/24，与防火墙在同一网段，这显然会引起NAT问题，于是首先必须得修改光猫的网段，然后才能把光猫接入防火墙的Wan0/0/1接口，本来把光猫改成桥接模式的，但是叫电信师傅过来要时间，自己破解也要时间，没那么多时间折腾，就简单点吧，改个网段最方便了——背面有一般帐户和密码，虽然这个用户名和密码极限很低，但是改个网段还是可以的

华为防火墙的进一步配置

1、将GE0/0/2接口的安全区域配置为trust，并且设置IP地址为192.168.2.1/24

2、将WAN0/0/1接口的安全区域配置为，并且设置IP地址为192.168.11.254/24

3、配置一条策略路由，使192.168.2.0/24，从ADSL出去

4、配置NAT策略，网段192.168.2.0/24的出接口为Wan0/0/1

5、上面图中，可以直接生成安全策略，这是新版的软件才有的，以前都得自己配置安全策略，现在能直接生成，方便多了

注意，这里应该把防病毒和入侵防御配上，如果你购买了授权的话。

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，觉得有用的，可以关注、点赞、转发，如有相同或者不同观点，欢迎评论。最近在“橱窗”上了一些精选商品和书籍，欢迎品评，谢谢！