在很多大中型企業中，對網絡有著成熟而復雜劃分，這個時候如果需要對網絡中某個小分支再次進行網絡權限劃分，將原有一個網段分為多個子網，就需要在前端企業骨干網絡設備上添加各個新增子網的路由表，而前端設備往往因為各種各樣的原因是不可操作的，這樣就需要使用TL-SG5428的代理ARP功能了。

用戶需求

某公司的分支機構由于業務增長，總部為該分支機構增設了一個財務部。分支機構網絡通過VPN與公司總部聯通，總部劃分給分支機構的IP為172.16.10.0/24，分支機構網絡管理員沒有VPN網絡設備的管理權限。

現在該分支機構需要在現有網絡的基礎上劃分兩個子網，業務部（10人）和財務部（10人），兩個部門不能互訪，但是都能訪問公司內部網絡。

拓撲結構

配置過程

步驟1：

網絡規劃：

路由器的IP為172.16.10.1 掩碼為255.255.255.0 該IP網絡管理員不需要進行修改。

在交換機中劃分3個網絡:

網絡1：IP地址范圍 172.16.10.1-172.16.10.2 用于連接公司內部網絡

VLAN IP為172.16.10.2 掩碼為255.255.255.252

網絡2：IP地址范圍 172.16.10.17-172.16.10.30 用于分配給分支機構的財務部

VLAN IP為 172.16.10.17 掩碼為255.255.255.240

網絡3：IP地址范圍 172.16.10.33-172.16.10.46 用戶分配給分支機構的業務部

VLAN IP為172.16.10.33 掩碼為255.255.255.240

步驟2：

在交換機中劃分3個VLAN，分別用于財務部接入、業務部接入、連接內網

交換機管理界面—>VLAN—>802.1Q VLAN

注意：建議電腦接在24號口進行配置

步驟3：

分別對3個VLAN設置IP地址

交換機管理界面—>路由功能—>靜態路由—>接口管理

將財務部、業務部、連接內網對于的VLAN IP設置到相應的VLAN中

步驟2和步驟3的詳細設置方法可以參考TL-SG5428應用——多網段網絡規劃配置指南

步驟4：

設置默認靜態路由

進入管理界面—>路由功能—>靜態路由—>靜態路由條目

添加條目

目的地址：0.0.0.0 子網掩碼：0.0.0.0 下一跳：172.16.10.1

步驟5：

啟動代理ARP

在連接路由器的接口上啟用代理ARP功能

步驟6：

設置ACL規則使財務課和業務課不能相互訪問。

詳細設置方法參考TL-SG5428應用——ACL控制不同部門的網絡權限

這樣財務部的電腦網關設置為172.16.10.17；業務部的電腦網關設置為172.16.10.33就可以實現用戶需求了。