交换机需要是第 3 层交换机，启用路由以允许 VLAN 之间的通信；第 2 层交换机无法在 VLAN 之间路由流量。您将在第 3 层交换机上配置 SVI，SVI 的地址将是 VLAN 的网关。

然后，您可以将路由器的中继链路转换为路由链路：

interface GigabitEthernet 1/0/1
 no switchport
 ip address <ip address> <mask>

您需要在第 3 层交换机和路由器之间运行路由协议，或者需要在路由器上配置到 VLAN 网络的静态路由。

您还需要一种在第 3 层交换机上拥有默认路由的方法，或者专门配置为指向路由器，或者通过来自路由器的路由协议。

您所描述的这种设置称为“棒上路由器”，您可以通过“inter vlan routing”主题在互联网上搜索。

问题是您已经配置了您的场景，并且在连接到其各自 vlan 的主机或设备上，已经拥有网关，您必须能够在 vlan 之间进行设备通信。

但是要访问 Internet，您需要在此处进行一些配置。

1. 您需要创建一个默认路由，通过连接到您的 ISP 的接口发送所有流量：

   ip 路由 0.0.0.0 0.0.0.0 x

注意：x 可以是您的 ISP 提供的网关（通常您使用 /30 网络建立链接，或者可以是连接到您的 ISP 的接口，这取决于您的配置）

2. 我想您需要检查是否需要某种 NATing，如果这是您的 ISP 提供商的一部分。不是，您需要在路由器上配置 NAT。

在这里，您可以从所有 vlan 访问 Internet。现在，因为您想拒绝从一个 vlan 到另一个 vlan 的访问，您需要创建访问列表并应用于您在路由器上创建的子接口：例如：

   access-list 100 deny ip any 192.168.2.0 0.0.0.255
   access-list 100 deny ip any 192.168.3.0 0.0.0.255
   access-list 100 permit any any

此 ACL 定义为 vlan 4，允许访问 Internet 和 vlan 1。必须在路由器上的相应 vlan 4 子接口上应用 INBOUND。

您需要为 vlan 2 和 3 创建 2 个 mores，然后执行相同的操作

3750 是第 3 层交换机。它应该如此配置，因为更好/更快的 vlan 间路由。

interface VLAN1 
ip address 192.168.1.1 255.255.255.0

interface VLAN2
ip addres 192.168.2.1 255.255.255.0

interface VLAN5 //you need to first add vlan5
descript *** link to router ***
ip address 192.168.5.1 255.255.255.0

把连接到路由器的端口作为

switchport mode access
switchport access VLAN5

..等等。最后开关需要

ip route 0.0.0.0.0 0.0.0.0 192.168.5.2

然后在路由器上清除现有的接口配置并放入

ip address 192.168.5.2 255.255.255.0

然后在全球范围内

ip route 192.168.0.0 0.0.255.255 192.168.5.1

您的路由器默认路由应指向 ISP 网关

最后，路由器和交换机堆栈之间应该有 2 条链路。请参阅端口通道配置指南。