求助各位，集思广益，感激不尽

本人刚接触某公司产品及三层技术，某公司产品型号为AC-1220版本号AC11.0R2.公司需要重新布署网络。现对要实现的功能做一下说明，希望各位能提供操作经验，十分感谢大家。

1、公司要布署400-500人网络，上三层交换机，划分若干个VLAN，（其中能有3分之2人员为公司常驻人员，3分之1人员为流动比较大的人员，这些人都自带笔记本电脑需要上网,这些人还分几个部门）全部为IP/MAC上网，其中几个VLAN打算设计成一部分人为固定IP上网，IP-MAC绑定（目的是将常驻人员的IP保护起来，以免乱填引起冲突），一部分流动大的人DHCP上网（因为人员变动大IP-MAC绑定不是太方便），这么设计的目的是因为每个VLAN里都有几台固定IP的服务器，流动人员也要能访问这些服务器，前提是不管常驻还是流动人员的行为都能通过AC某公司来管理。

2、三层下面还想搭建无线网络,划分成一个VLAN。这个目的是便于访客来公司无线上网用，不能访问公司所有内网。

问题1：这些想法可不可行，如果可行需要怎么设置，是在AC里做还是在三层里做。

2、要实现同一VLAN里有IP/MAC绑定和DHCP自动分配IP是在三层里配还是需要在三层下面二层交换机下面再接路由器。

3、如果网络结构不合理，也可以采用大家的好建议。

问题1：这些想法可不可行，如果可行需要怎么设置，是在AC里做还是在三层里做。
2、要实现同一VLAN里有IP/MAC绑定和DHCP自动分配IP是在三层里配还是需要在三层下面二层交换机下面再接路由器。
3、如果网络结构不合理，也可以采用大家的好建议。

你这些都是需要在三层设置的。
三层划分VLAN做DHCP，每个vlan做了DHCP后，在做地址保留，把固定地址的用户IP排除出DHCP就行，然后在AC里对固定的IP地址做IPMAC绑定。
关于无线部分，在三层交换机做ACL控制，禁止源是无线IP的访问服务器段就可以。

只要他们能上网，就肯定会经过上网行为，肯定就能管控。

1、三层划分VLAN做DHCP，每个vlan做了DHCP后，在做地址保留，把固定地址的用户IP排除出DHCP就行
2、在AC里对固定的IP地址做IPMAC绑定。
3、无线，在三层交换机做ACL控制，禁止源是无线IP的访问对象

三层环境的话，dhcp在三层上做吧，三层上做vlan隔离，服务器dhcp保留地址不做分配，或者直接放在dhcp地址池外，内部员工全部做ip及mac绑定，手动设置ip，这些自动设置的ip全部记录下来，在认证的时候做不需要认证直接上网，三层上做acl的时候将这些ip段放开可以直接访问所有，其他ip不能访问他们机内网服务器。

学习一下

你这些都是需要在三层设置的。