华为路由器仅的有2个千兆口，无法切换成二层内网接口？其实完全可以操作，还挺简单的

华为AR1220-S企业级路由器，有2个千兆网口和8个百兆网口，这8个百兆口，倒是可以很方便地转换为三层接口，用来连接外网，但是2个千兆网口就可惜了，只能用来连接外网，无法切换成二层的内网口，这就有点尴尬了，客户的宽带是200M，而内网交换机是千兆的，无疑都必须用到千兆网口，难道只能更换路由器？

客户的诉求，就是我们努力的方向，能想办法解决的问题，坚决不让客户花钱，那么就来看看怎么把其中一个千兆网口改造成内网接口吧。

开始之前，先来复习一下上一篇文章的拓扑图以及客户的诉求：

（1）华为AR1220-S，两个千兆口为Wan口，8个百兆的是Lan口，客户已经问过华为客服，无法将其中一个千兆口定义为Lan口，让笔者想办法实现：一个千兆口接光猫，200M拨号宽带；另外一个千兆口接入核心交换机，使内网计算机通过这个接口上网；

（2）创建3个Vlan：Vlan10为Sales，Vlan11为Offices，Vlan12为Product；端口分配如拓扑图所示（这一步，在上一篇文章中已经完成配置）；

（3）华为S5720和思科3750之间，分别用两个端口连接，配置聚合（这一步，在上一篇文章中已经完成配置）；

（4）3个Vlan都能上外网（这一步，关于交换机的配置在上一篇文章中已经完成，本文将完成路由器的配置）；

（5）Vlan10和Vlan12能互访，但它们都禁止访问Vlan11；

这一步比较简单，在华为S5720交换机中执行以下配置命令即可：

一、华为交换机配置ACL

acl number 3001 *创建ACL

rule deny ip sou 192.168.10.0 0.0.0.255 des 192.168.11.0 0.0.0.255 *禁止192.168.10.0访问192.168.11.0

rule deny ip sou 192.168.12.0 0.0.0.255 des 192.168.11.0 0.0.0.255 *禁止192.168.12.0访问192.168.11.0

q **退出ACL配置

traffic-filter vlan 11 outbound acl 3001 *把ACL应用到VLAN11的OUT方向

以下配置来完成客户诉求（1）和（4）：

二、华为企业级路由器的配置

sysname ar1220 *为设备命名

acl number 2000 *定义ACL2000

rule 3 permit *定义ACL2000的允许规则，没这条规则，上不了外网

interface Dialer1 *创建拨号

link-protocol ppp *PPP协议

ppp chap user 051215XXXXXXXX *宽带帐号

ppp chap password cipher XXXXXXXX *宽带密码

ppp pap local-user 051215438163 password cipher XXXXXXXX *宽带帐号密码，注意两种不同的密码认证方式

ppp ipcp dns admit-any *配置路由器可以被动地接受分配来的DNS服务器地址

ppp ipcp dns request *配置PPP主动请求DNS服务器地址

ip address ppp-negotiate *为PPP接口配置为可协商的IP地址

dialer bundle 1 *关联拨号接口

dialer number 1 autodial *匹配服务端的宽带密码验证方式

dialer-group 1 *引用dialer-group组1

nat outbound 2000 *配置NAT适用于ACL2000，其实就是Easy IP，地址转换

interface GigabitEthernet0/0/1

pppoe-client dial-bundle-number 1 *配置G0/0/1口为Dialer1的接口

interface GigabitEthernet0/0/0

ip address 192.168.8.254 255.255.255.0 *为三层口G0/0/0配置IP地址，此接口连接华为S5720交换机的G0/0/1口，看到了吧，其实不用管它是三层口还是二层口，配上IP地址，照样与交换机的VLAN通信，三个VLAN，个个都能通过这个三层接口来上外网。

ip route-static 0.0.0.0 0.0.0.0 Dialer1 *配置默认路由，出局走Dialer1

ip route-static 192.168.8.0 255.255.248.0 192.168.8.1 *内网回程路由，注意掩码长度，为什么要配成255.255.248.0？请看上一篇文章中，华为S5720交换机中的VLAN划分。

到此，客户的5个诉求已经配置完成，经测试，也都正常运行。那么问题来了，三个华为的型号为AP3030DN的无线AP，接入并且配置完成后，网速度最高只能达到百兆，无论是内网互传文件，还是上外网下载，始终无法突破百兆的网速，基本稳定在每秒9M的样子，笔者折腾了两天，无奈之下，向华为工程师求助，华为那边两三个工程师，也是折腾了两三天了，问题始终无法解决，跟笔者反馈已经向研发部提交问题。那就只能等华为研发部回复了，这种问题真是奇葩啊，欲知后事如何，请持续关注笔者。