配置VLAN与NAT：多部门网络访问控制实践

本资源提供了一个关于如何配置网络设备，特别是交换机和路由器，以满足特定网络需求的实例。案例中涉及到了VLAN划分、NAT转换以及访问控制列表（ACL）的应用，以确保不同部门之间的网络访问权限。 在本案例中，一家单位的三个部门（部门1、部门2和部门3）需要通过共享的Internet接入服务进行通信，并且有特定的访问限制。为此，使用了一台路由器和一台局域网交换机。首先，交换机的端口被分配到不同的VLAN中，每个部门一个VLAN，分别是VLAN10（部门1）、VLAN20（部门2）和VLAN30（部门3）。配置过程如下： 1. 进入交换机配置模式：`Switch#conf t` 2. 将端口f0/1-3配置为VLAN10，设置为访问模式：`Switch(config)#in range f0/1–3`, `Switch(config-range)#switchport mode access`, `Switch(config-range)#switchport access vlan 10` 3. 类似地，将端口f0/4-6配置为VLAN20，端口f0/7-9配置为VLAN30。 4. 最后退出配置模式：`Switch(config-range)#exit` 和 `Switch(config)#exit` 为了使所有部门都能访问Internet，采用NAPT（网络地址端口转换）技术。路由器的公网IP为222.17.240.5/24，电信接入IP为202.100.100.88。NAPT允许内部网络的私有IP地址通过路由器转换为唯一对外的公网IP进行通信。 内网规划如下： - 部门1：VLAN10，IP地址范围192.168.10.2/24以上，网关192.168.10.1 - 部门2：VLAN20，IP地址范围192.168.20.2/24以上，网关192.168.20.1 - 部门3：VLAN30，IP地址范围192.168.30.2/24以上，网关192.168.30.1 为了实现访问控制，交换机需配置ACL。例如，允许部门1和部门2互访，但禁止它们访问部门3，以及允许部门3访问其他两个部门，可以创建以下ACL规则： 1. 允许部门1和部门2的互访： `access-list 10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255` `access-list 10 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255` 2. 禁止部门1和部门2访问部门3： `access-list 10 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255` `access-list 10 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255` 3. 允许部门3访问部门1和部门2： `access-list 10 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255` `access-list 10 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255` 将这些ACL应用到相应的交换机端口或VLAN接口，以实施这些规则。 配置ACL时要注意： - ACL默认在末尾有隐含的deny所有不符合规则的数据包。 - 源和目的地址的掩码用于匹配，"0"表示精确匹配，"1"表示忽略该位。 - 最严格的规则应放在列表顶部，以先匹配先处理。 本案例展示了如何通过VLAN、NAT和ACL来实现特定的网络访问策略，确保网络的隔离和安全。这种配置方法在多部门或需要不同访问权限的组织中非常常见。