在很多大中型企業(yè)中，對網(wǎng)絡(luò)有著成熟而復(fù)雜劃分，這個時候如果需要對網(wǎng)絡(luò)中某個小分支再次進行網(wǎng)絡(luò)權(quán)限劃分，將原有一個網(wǎng)段分為多個子網(wǎng)，就需要在前端企業(yè)骨干網(wǎng)絡(luò)設(shè)備上添加各個新增子網(wǎng)的路由表，而前端設(shè)備往往因為各種各樣的原因是不可操作的，這樣就需要使用TL-SG5428的代理ARP功能了。

用戶需求

某公司的分支機構(gòu)由于業(yè)務(wù)增長，總部為該分支機構(gòu)增設(shè)了一個財務(wù)部。分支機構(gòu)網(wǎng)絡(luò)通過VPN與公司總部聯(lián)通，總部劃分給分支機構(gòu)的IP為172.16.10.0/24，分支機構(gòu)網(wǎng)絡(luò)管理員沒有VPN網(wǎng)絡(luò)設(shè)備的管理權(quán)限。

現(xiàn)在該分支機構(gòu)需要在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上劃分兩個子網(wǎng)，業(yè)務(wù)部（10人）和財務(wù)部（10人），兩個部門不能互訪，但是都能訪問公司內(nèi)部網(wǎng)絡(luò)。

拓撲結(jié)構(gòu)

配置過程

步驟1：

網(wǎng)絡(luò)規(guī)劃：

路由器的IP為172.16.10.1 掩碼為255.255.255.0 該IP網(wǎng)絡(luò)管理員不需要進行修改。

在交換機中劃分3個網(wǎng)絡(luò):

網(wǎng)絡(luò)1：IP地址范圍 172.16.10.1-172.16.10.2 用于連接公司內(nèi)部網(wǎng)絡(luò)

VLAN IP為172.16.10.2 掩碼為255.255.255.252

網(wǎng)絡(luò)2：IP地址范圍 172.16.10.17-172.16.10.30 用于分配給分支機構(gòu)的財務(wù)部

VLAN IP為 172.16.10.17 掩碼為255.255.255.240

網(wǎng)絡(luò)3：IP地址范圍 172.16.10.33-172.16.10.46 用戶分配給分支機構(gòu)的業(yè)務(wù)部

VLAN IP為172.16.10.33 掩碼為255.255.255.240

步驟2：

在交換機中劃分3個VLAN，分別用于財務(wù)部接入、業(yè)務(wù)部接入、連接內(nèi)網(wǎng)

交換機管理界面—>VLAN—>802.1Q VLAN

注意：建議電腦接在24號口進行配置

步驟3：

分別對3個VLAN設(shè)置IP地址

交換機管理界面—>路由功能—>靜態(tài)路由—>接口管理

將財務(wù)部、業(yè)務(wù)部、連接內(nèi)網(wǎng)對于的VLAN IP設(shè)置到相應(yīng)的VLAN中

步驟2和步驟3的詳細設(shè)置方法可以參考TL-SG5428應(yīng)用——多網(wǎng)段網(wǎng)絡(luò)規(guī)劃配置指南

步驟4：

設(shè)置默認靜態(tài)路由

進入管理界面—>路由功能—>靜態(tài)路由—>靜態(tài)路由條目

添加條目

目的地址：0.0.0.0 子網(wǎng)掩碼：0.0.0.0 下一跳：172.16.10.1

步驟5：

啟動代理ARP

在連接路由器的接口上啟用代理ARP功能

步驟6：

設(shè)置ACL規(guī)則使財務(wù)課和業(yè)務(wù)課不能相互訪問。

詳細設(shè)置方法參考TL-SG5428應(yīng)用——ACL控制不同部門的網(wǎng)絡(luò)權(quán)限

這樣財務(wù)部的電腦網(wǎng)關(guān)設(shè)置為172.16.10.17；業(yè)務(wù)部的電腦網(wǎng)關(guān)設(shè)置為172.16.10.33就可以實現(xiàn)用戶需求了。