多vlan实现互访，使用NAT、DHCP、ACL等技术实现公司组网

需求

1. 某公司有三个部门，要使三个部门可以访问互联网，但各个部门之间不能相互访问。

2. 内网有一台服务器，所有人都要能访问到，而且要对内外提供HTTP、DNS服务。

3. 三个部门的机器均使用动态IP上网，服务器使用静态IP上网。

4. ISP提供静态IP接入，只提供一个外网IP，IP地址1.1.1.1，子网掩码255.255.255.0，网关：1.1.1.254（瞎编的）。

方案设计

1. 1841作为网关，提供路由、NAT、DHCP等服务，设置ACL限制VLAN间互访。

2. 2960作为二层交换机，划分VLAN。

网络拓扑图

交换机端口、VLAN划分

• 部门一 FE0/1-8: 绑定VLAN10

• 部门二 FE0/9-16:绑定VLAN20

• 部门三 FE0/17-24:绑定VLAN30

• 干路 GE0/1: 连接路由器的FE0/1口，TRUNK 允许 VLAN10 20 30 100通过

• 服务器 GE0/1: 绑定VLAN100

路由器端口、网段、IP划分

• FE0/0:WAN接口、IP为1.1.1.1

• FE0/1：连接交换机的GE0/1口，下面划分多个子接口，自身不设置IP地址，

• FE0/1.1:绑定VLAN10，IP为192.168.1.1/24

• FE0/1.2:绑定VLAN20，IP为192.168.2.1/24

• FE0/1.3:绑定VLAN30，IP为192.168.3.1/24

• FE0/1.4:绑定VLAN100，IP为192.168.100.1/24

以下为完整设置命令，有详细注释，设备均已恢复出厂设置

交换机配置

进入特权模式

Switch>enable

进入配置模式

Switch#configure terminal

设置部门一VLAN10

Switch(config)#interface range FastEthernet 0/1-8    %端口组FE0/1-8
 
Switch(config-if-range)#switchport mode access
 
Switch(config-if-range)#switchport access vlan 10 %设置端口为access模式，绑定vlan10
 
Switch(config-if-range)#exit

设置部门二VLAN2