【网友提问】一套局域网络内外网划分的问题！请教高手。现有一套企业局域网，想实现部分机器只能访问局域网，部分机器即有局域网权限又有互联网权限，如何实现？从交换机分或者从防火墙上VPN分能否可行？或者是软件划分。请教各位，能出些高见，最好有具体的方案。现有设备是数据服务器一台、代理服务器一台、华为2621、防火墙NETSCREEN235。

    【IT168 解答】 这名网友提出希望通过交换机或防火墙VPN或者软件划分实现部分计算机只能访问内网不能访问外网，而部分计算机既可以访问内网又可以访问外网的功能。其实解决这个问题的方法非常简单，只要在路由器上进行设置即可。

    解决问题的关键是使用访问控制列表ACL来丢弃不容许访问外部网络的数据包。我们先来了解下ACL的作用：所谓ACL也叫访问控制列表，一般的交换机和路由器都支持ACL，通过ACL可以实现设备对每个通过他的数据包进行检查，比较ACL中设置的规则并按照ACL的规定实施转发或丢弃操作。

    如果说得通俗一点的就是ACL相当于公司的门卫，他会检查所有进入大门的人员（数据包），并按照公司员工实现约定好的事宜进行操作，例如员工甲会提前告诉门卫凡是找他的人员都容许进入公司，这样门卫就会放行所有找员工甲的人员（数据包）。同理员工乙可能告诉门卫凡是来自山东老家的人来找乙都可以放行，其他人不要放行，这样门卫也会按照得知的规则对来访人员进行放行或阻拦。

    明白了ACL访问控制列表的理论后我们就来解决一下网友提出的实际问题。根据他的表达我们可以粗略知道公司内部计算机都是通过交换机进行连接的，在交换机的UPLINK口会连接路由器华为2621的一个端口，而路由器的另一个端口连接外网INTERNET。

    这里我们姑且规定内网端口为E1，外网端口为E2。公司内部计算机IP分布为192.168.0.0 255.255.0.0，要求192.168.1.0 255.255.0.0的主机可以访问外网也可以访问内部局域网，而对于192.168.2.0 255.255.0.0的主机只能访问内部网络。

    我们应该如何命名ACL呢？是在E1端口还是在E2端口上进行设置呢？下面就请读者跟着我们的实际演示来一步一步的实现吧！

    第一步：配置ACL

    [2621]acl 109

    命令解释：创建一个ACL并命名为109

    [2621-acl-109]rule permit tcp source 192.168.1.0 0.0.255.255 destination any

    命令解释：容许源地址为192.168.1.0 255.255.0.0的主机访问任何地址

    [2621-acl-109]rule deny ip source 192.168.2.0 0.0.255.255 destination any

    命令解释：阻止源地址为192.168.2.0 255.255.0.0的主机访问任何地址，注意由于这些主机在到达路由器前是通过交换机和192.168.1.0网络的计算机连接的，所以他们是可以访问内部局域网的

    [2621-acl-109]rule deny ip source any destination any

    命令解释：对于其他地址的数据包全部阻止过滤掉。这样可以有效的防范病毒的蔓延。

    小提示：

    为什么在设置ACL中原本255.255.0.0的子网掩码却要用0.0.255.255来表示呢？这就涉及到反向掩码的知识了，由于篇幅有限这里不便展开讲解，大家只要大概知道反向掩码与实际子网掩码相反就可以了。255.255.0.0对应的是0.0.255.255。

    第二步：启用ACL

    [2621]int e1

    命令解释：进入E1端口

    [2621-Ethernet1]firewall packet-filter 109 outbound

    命令解释：在E1端口启用ACL，使访问控制列表生效。

    总结：

    通过访问控制列表的方法只需要两步就可以解决网友认为很难的问题，VPN和交换机还有防火墙都不用进行配置。在使用中还可以根据实际情况对ACL进行修改。其灵活性不言而喻。