还是苏州某木业企业，已经是每三篇文章了，上一篇文章讲到，由于交换机不支持VLAN，笔者只能在TP-Link TL-ER3210G（路由降级成纯AC使用）上建立了VLAN2和SSID2，并且把SSID2绑定到VLAN2上，目的就是让WIFI用户连接到SSID2，然后获取到192.168.2.0/24网段的IP地址，华为USG6305E上面做了NAT策略和安全策略：WIFI的2.0网段走固定IP的宽带，有线1.0网段，除了保留的2-50以外，其余IP走ADSL链路。

配置完成以后，进行了测试，三层楼，三个人分别拿着手机和笔记本电脑，测试WIFI稳定性，感觉没啥问题，就撤了，谁知道，过了一个周末，周一上班就不行了：同一个办公室的人，有的人能连接WIFI，有的人不能连接（无法获取IP地址），有的人上班来连接上了，去一下洗手间回来就连不上了。。。

技术员过去，手机能正常连接，笔记本电脑也是无法获取IP，重启机房的POE交换机，手机和笔记本电脑都能连接WIFI上网，但是断开后重新连接，手机正常，笔记本电脑又无法获取IP了，奇怪！

技术员打电话问客服，客服回答说不太清楚，大概是因为他们的AP下发两个SSID没问题，但是两个SSID不在一个VLAN，可能会不稳定。

作为厂商的技术支持，给我们一个大概、也许、可能的回答，实在是让人无语。算了，算了，靠谁都不如靠自己，还得自己想办法，先把拓扑恢复到刚上防火墙的时候再说。

删除TP-Link TL-ER3210G中的VLAN信息和SSID2

根据客服模棱两可的回复，VLAN2是不能要了，就让TP-Link TL-ER3210G安安静静地做个最简单的AC控制器吧，把SSID2也删除，只留下一个SSID，这么简单的活儿还干不好，那就只能让它下岗了。

那现在有线、无线都在一个网段里面了，防火墙里面的NA策略T和安全策略怎么办？那不是达不到原定目标了吗？

想了想，有办法了，把台式机和笔记本的有线网卡MAC地址和IP地址绑定，然后这些IP地址走ADSL，那剩下的不就是WIFI的IP地址了么？嘿嘿，说干就干。

删除TP-Link TL-ER3210G中仅剩的一个SSID

这步操作的目的是让用户失去WIFI，把IP地址还出来；

所有交换机停电

这步操作的目的是让用户失去有线网络，把IP地址还出来；

删除防火墙里面的DHCP服务器

本来只想重启一下DHCP服务的，可是防火墙里面没找到这功能，时间紧迫，不管了，直接删除DHCP服务器，重新建立一遍，这样操作的目的是，让地址池为空，即没有IP被占用。

所有交换机上电

这步的任务是，使有线连接的电脑获取到IP地址

绑定MAC和IP

这里就要吐槽一下了，华为防火墙应该也要学习一下某些中低端路由器，开发个一键绑定MAC地址和IP地址的功能，让咱们少干点复制、粘贴的活儿

好在电脑不多，就40台，狠狠地复制、粘贴一番，也很快解决问题了。

在TP-Link TL-ER3210G上重建SSID

重建SSID，所有设置保持原样，方便用户接入

经过以上步骤，成功地把有线和无线分成了两个网段，下面就该对这两个网段做NAT策略和安全策略了

华为防火墙配置NAT策略和安全策略

（1）40台电脑指定走ADSL的NAT策略

（2）40台电脑上网的安全策略

（3）同理，还要配置1-50（预留给服务器、打印机等设备使用）和 91-254（WIFI）走固定IP的链路，是样也是NAT策略和安全策略；

做完上面的（1）（2）（3），你会发现，WIFI能上网了，而有线连接的电脑还是不能上网，这是怎么回事呢，其实还得写一条策略路由才可以，因为他们从默认路由出不去啊。

写完策略路由，都能上网了，又发现第二个问题，走了不同宽带的IP，互相之间无法通讯！这是因为，数据包不管三七二十一，全部从指定出口出去了，所以，咱们还得做一条策略路由，告诉他们，内部交流就不要去外面了

以上配置完成后，网络运行了两天，很稳定，没再出现问题，任务完成！

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，觉得有用的，可以关注、点赞、转发，如有相同或者不同观点，欢迎评论。最近在“橱窗”上了一些精选商品和书籍，欢迎品评，谢谢！