NAT配置案例：使用PAT技术实现多部门电脑上网访问控制

"该文介绍了如何利用PAT技术配置NAT和路由器，以便让内部网络的计算机能够上网。文章提供了一个具体的项目案例，涉及一个单位的三个部门，每个部门都有三台电脑，通过一个路由器和局域网交换机共享一个公网IP地址接入Internet。此外，还设置了访问控制以满足特定的网络访问需求。" 详细说明: 1. **NAT技术**：NAT（Network Address Translation）是一种网络地址转换技术，用于解决IPv4地址短缺的问题。在本案例中，NAT被用来将内部网络的私有IP地址转换为公网IP地址，使内部计算机能够通过唯一的一个公网IP地址访问Internet。 2. **PAT技术**：PAT（Port Address Translation）是NAT的一种扩展形式，它不仅转换IP地址，还会修改TCP或UDP端口号，使得多个内部设备可以通过单一公网IP地址的不同端口同时访问Internet。在配置中，`ip nat inside source list 1 interface s1/0 overload`这条命令就是启用PAT，其中`list 1`是指定的访问控制列表，`interface s1/0`是外部接口，`overload`表示使用PAT。 3. **网络规划**：三个部门被分配到不同的VLAN（VLAN10、VLAN20和VLAN30），每个部门使用各自的私有IP地址范围，如部门1的IP地址范围是192.168.10.0/24，部门2是192.168.20.0/24，部门3是192.168.30.0/24。每个VLAN的网关分别为192.168.10.1、192.168.20.1和192.168.30.1。 4. **访问控制**：为了实现特定的访问权限，需要配置访问控制列表（ACL）。例如，`access-list 1 permit 192.168.10.0 0.0.0.255`允许VLAN10的访问。ACL可以绑定到物理端口或VLAN接口，以限制或允许特定流量。配置时需要注意，ACL的顺序很重要，更严格的规则应放在前面，因为ACL的检查是从上到下的。 5. **ACL配置**：在接口配置模式下，使用`ip access-group 名称 in`命令将ACL应用到接口，如`inf0/0.2 ip access-group 名称 in`，这会将名为“名称”的ACL应用到接口的入方向。 6. **ACL注意事项**： - ACL默认会隐含一个拒绝所有其他流量的规则，位于列表末尾。 - 在指定源或目的地址时，掩码中的"0"表示精确匹配，"1"表示忽略相应位。 - 当需要限制特定主机或网段的访问时，需要正确设置掩码。例如，允许192.168.1.0/24网段的访问，掩码应为0.0.0.255，而允许特定主机，则掩码应为0.0.0.0。 通过上述配置，可以实现内部网络的访问控制和Internet接入，同时满足了不同部门之间的特定访问需求。