pfSense是一款开源防火墙软件，在企业、教育机构、政府机构和非营利组织的使用非常广泛。配合主流三层交换机，可以满足一般中小公司或机构、组织的使用需求。本文介绍使用三层交换机的路由模式搭建办公网络过程，供大家参考。

本方案使用的网络设备：Netgate XG-1541防火墙，华为S5720-32P-EI-AC交换机，网络拓扑如下：

交换机配置

1、VLAN划分

通过管理端口，进入交换机Web配置界面，导航到配置>基本业务管理>vlan菜单，新建5个VLAN，并配置好接口IP。

2、选择模式

回到顶部配置菜单，选择路由模式，让交换机做网关，各个vlan子网都可以通过pfSense访问互联网。

3、内网接口

选择内网接口、允许的VLAN，填写接口IP地址。单击右侧绿色的小勾确认。下图只列出了VLAN10的填写数据，其他VLAN参照填写即可。

4、上联接口

选中连接 pfSense的上联接口，并填写接口地址，点击应用。

5、启用DHCP

导航到配置>基本业务管理>DHCP菜单，将各个VLAN接口的DHCP功能打开，并配置好dns服务器，如下图所示：

pfSense配置

1、配置防火墙规则

按正常步骤配置pfSense，LAN接口地址设为192.168.20.1（没有网关），注意在设置防火墙LAN接口规则时，源地址设为any(保证各个vlan都可以访问)。如下图所示：

提示：示例防火墙配置了多wan，出口网关做了负载平衡。

2、配置接口网关

导航到系统>路由管理>网关状态，添加一个新网关，接口LAN，网关地址为交换机的上联接口IP：192.168.20.2。

网关配置后如下图所示：

3、配置回程路由

本示例中，交换机划分为五个VLAN，分别为VLAN10、VLAN11、VLAN12、VLAN13、VLAN14，其中，VLAN14为交换机的上联接口。为保证VLAN10-13能正常访问外部网络，需要在pfSense防火墙配置四条回程路由。

导航到系统>路由管理>静态路由，点右侧添加，目标网络填写vlan的各个子网络，网关选刚才新建的指向交换机的网关。

路由配置后如下图所示：

提示：将目标网络设置为192.168.13.0/21，那么仅需使用一条回程路由即可。

检查测试

在客户端电脑上进行测试，查看是否正常获取IP，在不同的VLAN接口上，获取的IP网段会不相同。

如果一切设置正常，现在客户端应该就可以正常上网冲浪了。

在另一篇文章里，介绍了使用交换机的交换模式配置小型办公网络的过程。

相关文章：pfSense配合三层交换机搭建小型办公网络(二)