大家好，我的网工朋友。

在企业网络中，想要实现跨部门的VLAN互联互通，其实有很多方式。

你可以通过子接口实现，也可以通过VLAN-Interface实现。但在实际工作中，很多网工朋友，遇到这种情况，很容易会回不过神来，一下子卡壳宕机。

今天我们不聊理论，就整点实际的，看完就能用到你的实战工作之中。

在部门里，你是否遇到过三个部门之间不能相互访问的需求？

如果有，今天这篇文章，就很适合你的阅读。

今日文章阅读福利：《图解网络系列（全套书籍） 》

想要入门网络的小友，这份图解系列全套都很适合你，配图丰富，理论和图片结合，很受小白追捧。

需要的朋友，可以私信我，发送暗号“图解”，即可获取此份全套书籍电子资源。

01 需求

某公司有三个部门，要使三个部门可以访问互联网，但各个部门之间不能相互访问。

内网有一台服务器，所有人都要能访问到，而且要对内外提供HTTP、DNS服务。

三个部门的机器均使用动态IP上网，服务器使用静态IP上网。

ISP提供静态IP接入，只提供一个外网IP，IP地址1.1.1.1，子网掩码255.255.255.0，网关：1.1.1.254（瞎编的）。

02方案设计

1841作为网关，提供路由、NAT、DHCP等服务，设置ACL限制VLAN间互访。

2960作为二层交换机，划分VLAN。

03 网络拓扑图

04 交换机端口、VLAN划分

部门一 FE0/1-8: 绑定VLAN10

部门二 FE0/9-16:绑定VLAN20

部门三 FE0/17-24:绑定VLAN30

干路 GE0/1: 连接路由器的FE0/1口，TRUNK 允许 VLAN10 20 30 100通过

服务器 GE0/1: 绑定VLAN100

05 路由器端口、网段、IP划分

FE0/0:WAN接口、IP为1.1.1.1

FE0/1：连接交换机的GE0/1口，下面划分多个子接口，自身不设置IP地址，

FE0/1.1:绑定VLAN10，IP为192.168.1.1/24

FE0/1.2:绑定VLAN20，IP为192.168.2.1/24

FE0/1.3:绑定VLAN30，IP为192.168.3.1/24

FE0/1.4:绑定VLAN100，IP为192.168.100.1/24

以下为完整设置命令，有详细注释，设备均已恢复出厂设置。

06 交换机配置

进入特权模式

Switch>enable

进入配置模式

Switch#configure terminal

设置部门一VLAN10

Switch(config)#interface range FastEthernet 0/1-8    %端口组FE0/1-8

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10 %设置端口为access模式，绑定vlan10

Switch(config-if-range)#exit

设置部门二VLAN20

Switch(config)#interface range FastEthernet 0/9-16    %端口组FE0/9-16
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20    %设置端口为access模式，绑定vlan20

Switch(config-if-range)#exit

设置部门三VLAN30

Switch(config)#interface range FastEthernet 0/17-24    %端口组FE0/17-24
Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 30    %设置端口为access模式，绑定vlan30
Switch(config-if-range)#exit

设置服务器VLAN100

Switch(config)#interface range GigabitEthernet 0/2
Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 100    %设置端口为access模式，绑定vlan100

Switch(config-if-range)#exit

设置汇聚口

Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan 10,20,30,100    %设置端口为trunk模式，允许 VLAN10 20 30 100通过

Switch(config-if)#exit

设置生成树快速转发

Switch(config)#spanning-tree portfast default %珍惜宝贵的时间

退出&保存设置

Switch(config)#exit
Switch#write

07 路由器配置

进入特权模式

Router>enable

进入配置模式

Router#configure terminal

设置部门一VLAN10 ACL规则1，仅禁止访问其他两个网段

Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 1 permit any

设置部门二VLAN20 ACL规则2，仅禁止访问其他两个网段

Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 2 permit any

设置部门三VLAN30 ACL规则3，仅禁止访问其他两个网段

Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 3 permit any

设置服务器VLAN100 ACL规则4，允许访问任何网络

Router(config)#access-list 4 permit any

设置NAT ACL规则5，仅允许四个内网网段进行NAT

Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255

Router(config)#access-list 5 deny any

设置WAN接口

Router(config)#interface FastEthernet 0/0

Router(config-if)#no shutdown

Router(config-if)#ip address 1.1.1.1 255.255.255.0

Router(config-if)#ip nat outside    %设置为NAT外部接口

Router(config-if)#exit

设置LAN接口

Router(config)#interface FastEthernet 0/1

Router(config-if)#no shutdown    %物理接口只需开启即可，不用设置IP地址

Router(config-if)#exit

设置部门一VLAN10子接口

Router(config)#interface FastEthernet 0/1.1
Router(config-subif)#encapsulation dot1Q 10    %用802.1Q封装数据帧，以便兼容交换机

Router(config-subif)#ip address 192.168.1.1 255.255.255.0

Router(config-subif)#ip access-group 1 in    %入口流量应用ACL规则1

Router(config-subif)#ip access-group 1 out    %出口流量应用ACL规则1

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit

设置部门二VLAN20子接口

Router(config)#interface FastEthernet 0/1.2

Router(config-subif)#encapsulation dot1Q 20    %用802.1Q封装数据帧，以便兼容交换机

Router(config-subif)#ip address 192.168.2.1 255.255.255.0

Router(config-subif)#ip access-group 2 in    %入口流量应用ACL规则2

Router(config-subif)#ip access-group 2 out    %出口流量应用ACL规则2

Router(config-subif)#ip nat inside

Router(config-subif)#exit

设置部门三VLAN30子接口

Router(config)#interface FastEthernet 0/1.3
Router(config-subif)#encapsulation dot1Q 30    %用802.1Q封装数据帧，以便兼容交换机

Router(config-subif)#ip address 192.168.3.1 255.255.255.0

Router(config-subif)#ip access-group 3 in    %入口流量应用ACL规则3

Router(config-subif)#ip access-group 3 out    %出口流量应用ACL规则3

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit

设置服务器VLAN100子接口

Router(config)#interface FastEthernet 0/1.4
Router(config-subif)#encapsulation dot1Q 100    %用802.1Q封装数据帧，以便兼容交换机

Router(config-subif)#ip address 192.168.100.1 255.255.255.0

Router(config-subif)#ip access-group 4 in    %入口流量应用ACL规则4

Router(config-subif)#ip access-group 4 out    %出口流量应用ACL规则4

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit

设置DHCP排除地址（这里只设置路由器本身IP）

Router(config)#ip dhcp excluded-address 192.168.1.1
Router(config)#ip dhcp excluded-address 192.168.2.1
Router(config)#ip dhcp excluded-address 192.168.3.1

设置VLAN10 DHCP服务器

Router(config)#ip dhcp pool vlan10

Router(dhcp-config)#default-router 192.168.1.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.1.0 255.255.255.0

Router(dhcp-config)#exit

设置VLAN20 DHCP服务器

Router(config)#ip dhcp pool vlan20
Router(dhcp-config)#default-router 192.168.2.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.2.0 255.255.255.0

Router(dhcp-config)#exit

设置VLAN30 DHCP服务器

Router(config)#ip dhcp pool vlan30

Router(dhcp-config)#default-router 192.168.3.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.3.0 255.255.255.0

Router(dhcp-config)#exit

设置路由

Router(config)#ip routing %开启路由转发

Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254    %设置默认网关

设置NAT

Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload  %允许四个网段进行NAT，出接口为WAN口，开启端口地址复用

Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80    %将内部服务器的80端口映射到公网IP上

Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 %将内部服务器的53端口映射到公网IP上

退出&保存设置

Router(config)#exit
Router#write

整理：老杨丨10年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部