三层交换机 1台
二层交换机  若干
路由器      1台
防火墙      1台
三层交换机用来做VLAN间路由，二层交换机纯用来连接，路由器防火墙全部跑静态路由，防火墙上可再连DMZ，

至于NAT在那做，没什么太大关系，防火墙、路由都可以。

三层交换配置：
ip routing
!开启路由功能
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!TRUNK设置
!
interface FastEthernet0/24
no switchport
ip address 192.168.251.2 255.255.255.0
interface Vlan10
ip address 192.168.10.1 255.255.255.0
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.251.1
!默认路由指到防火墙
ip route 192.168.0.0 255.255.128.0 Null0
!内部汇总路由指到空接口

防火墙配置（路由方面）：
ip route 0.0.0.0 0.0.0.0 192.168.252.1
ip route 192.168.0.0 255.255.128.0 192.168.251.2
路由器配置：
ip route 0.0.0.0 0.0.0.0 202.100.0.1
ip route 192.168.0.0 255.255.128.0 192.168.252.2

接入层交换机Switch0的配置：
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
!将接口划分到VLAN
interface FastEthernet0/2
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet1/1
switchport mode trunk
!TRUNK设置

注意事项：

核心交换机上使用静态默认路由时，要记得在路由器上回指内网网络。

VLAN的配置使用sh run看不到，注意交换机之间VLAN同步。

NAT的配置将在下一节介绍。