【网友提问】一套局域网络内外网划分的问题！请教高手。现有一套企业局域网，想实现部分机器只能访问局域网，部分机器即有局域网权限又有互联网权限，如何实现？从交换机分或者从防火墙上VPN分能否可行？或者是软件划分。请教各位，能出些高见，最好有具体的方案。现有设备是数据服务器一台、代理服务器一台、华为2621、防火墙NETSCREEN235。

    【IT168 解答】 这名网友提出希望通过交换机或防火墙VPN或者软件划分实现部分计算机只能访问内网不能访问外网，而部分计算机既可以访问内网又可以访问外网的功能。其实解决这个问题的方法非常简单，只要在路由器上进行设置即可。

    解决问题的关键是使用访问控制列表ACL来丢弃不容许访问外部网络的数据包。我们先来了解下ACL的作用：所谓ACL也叫访问控制列表，一般的交换机和路由器都支持ACL，通过ACL可以实现设备对每个通过他的数据包进行检查，比较ACL中设置的规则并按照ACL的规定实施转发或丢弃操作。

    如果说得通俗一点的就是ACL相当于公司的门卫，他会检查所有进入大门的人员（数据包），并按照公司员工实现约定好的事宜进行操作，例如员工甲会提前告诉门卫凡是找他的人员都容许进入公司，这样门卫就会放行所有找员工甲的人员（数据包）。同理员工乙可能告诉门卫凡是来自山东老家的人来找乙都可以放行，其他人不要放行，这样门卫也会按照得知的规则对来访人员进行放行或阻拦。