在工作中，可以能有這樣的需求，有些部門需要訪問互聯網，一些不讓訪問互聯網，但是在局域網内部，不同部門可能有業務的來往，所以需要互通。一般情況下，會使用訪問控制列表來實現這個需求。

如下圖的拓撲

上圖的R1為出口路由，通過連接到運營商自動獲取IP上網。内部局域網通過NAT方式上網。按照上圖的需求，直接把VLAN30的網段做nat就能實現上網，VLAN20和30不做NAT就實現不能上互聯網的需求了。

1、把不同部門的加入到相對應的VLAN中

2、為每個VLAN配置VLANIF的IP地址，作為此網段的網關地址

3、在SW1和SW2的級聯口配置，運行VLAN10到VLAN30通過。

4、SW1和R1配置互聯IP

5、在SW1上配置默認路由，把去往互聯網的數據包交給R1處理。

6、R1上指定數據包回來的路由。

7、匹配要做NAT的網段

8、在R1的GE0接口上應用NAT。

在SW2中，把财務部、開發部和訪客分别加入到vlan10、vlan20和30中。

SW2

在SW1上為vlan10、vlan20和vlan30配置 ，VLANIF的IP地址

SW1

把SW1和SW2的GE23端口配置trunk模式，并允許vlan10到30通過。

配置R1和SW1的互聯IP地址

R1

在R1和SW1配置路由信息.

在SW上執行如下命令，意思是把去往互聯網的數據包交給路由器處理。192.168.100.2是路由器R1的GE02接口IP.

ip route-static 0.0.0.0 0.0.0.0 192.168.100.2

同時，還需要在路由器R1上指定回來的路由走向，如果在路由器不配置回來的路由，會造成有去無回的現象

在路由器R1上執行如下命令，意思是以192.168.開頭的數據包交給SW1處理。192.168.100.1為SW1的接口IP

ip route-static 192.168.0.0 255.255.0.0 192.168.100.1

到此局域内部是可以相互訪問的，但是去往互聯網還是不通的，原因由于私有IP不能再公網路由，所有，我們需要把私網地址轉換成公網IP。這時會用到NAT技術。

根據需求，隻需要訪客VALN30的網段需要上網，因此，采用訪問控制列表。把VALN30的網段匹配到。

acl number 2000

rule 5 permit source 192.168.30.0 0.0.0.255

定義公網地址池

nat address-group 1 192.168.224.135 192.168.224.135

在R1的GE0接口應用NAT

interface GigabitEthernet0/0/0

nat outbound 2000 address-group 1

ip address dhcp-alloc

到此上述的功能已經完成了。好了，我們看看效果吧

PC3

PC1

通過上圖可以看到訪客可以正常訪問互聯網和内網的其他部門。開發部和财務部均不能訪問互聯網。

我們還可以通過在R1上執行display nat session all，查看nat轉換的情況，如下圖。

可以看到内部IP地址192.168.30.10被轉換成192.168.224.135這個地址。

想獲取此拓撲和詳細的配置文件，請關注并轉發，私信回複“ACL”獲取。感謝大家的一路支持。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!