配置NAT使vlan 10能访问外网服务器的任何服务vlan 20只能访问外网服务器的web服务。vlan 30 不能访问外网。外网只能访问内网的web服务。

这是一个比较复杂的网络配置，需要考虑很多因素，包括网络拓扑、设备配置、安全策略等。以下是一个基本的配置示例：

假设有一个三层交换机，有三个VLAN：VLAN10，VLAN20和VLAN30。假设外网的IP地址为x.x.x.x，内网的IP地址为y.y.y.y。

首先需要配置NAT，使得内网的IP地址可以访问外网。配置如下：

interface gigabitethernet0/0 ip address x.x.x.x 255.255.255.0 ip nat outside exit

interface gigabitethernet0/1 ip address y.y.y.y 255.255.255.0 ip nat inside exit

ip nat pool nat-pool x.x.x.x x.x.x.x netmask 255.255.255.0 ip nat inside source list 1 pool nat-pool overload access-list 1 permit any

这样就可以实现内网的IP地址访问外网了。但是需要根据VLAN的不同，设置不同的访问策略。具体配置如下：

interface vlan 10 ip address 10.10.10.1 255.255.255.0 ip nat inside exit

interface vlan 20 ip address 10.10.20.1 255.255.255.0 ip nat inside exit

interface vlan 30 ip address 10.10.30.1 255.255.255.0 exit

access-list 100 permit tcp any host x.x.x.x eq www access-list 100 permit tcp any host x.x.x.x eq 443 access-list 101 permit tcp any host x.x.x.x eq www access-list 101 permit tcp any host x.x.x.x eq 443 access-list 102 deny ip any host x.x.x.x access-list 103 permit tcp host x.x.x.x any eq www access-list 103 permit tcp host x.x.x.x any eq 443

ip nat inside source list 100 interface gigabitethernet0/0 overload ip nat inside source list 101 interface gigabitethernet0/0 overload ip nat inside source list 102 interface null0 overload ip nat inside source list 103 interface gigabitethernet0/0 overload

vlan 10的IP地址可以直接访问外网的任何服务，因此只需要配置NAT即可。vlan 20只能访问外网服务器的web服务，因此需要使用ACL限制访问。vlan 30不能访问外网，因此只需要配置IP地址即可。

最后，需要配置安全策略，限制外网的访问。具体配置如下：

interface gigabitethernet0/0 ip access-group 1 in exit

access-list 1 permit tcp host x.x.x.x any eq www access-list 1 permit tcp host x.x.x.x any eq 443 access-list 1 deny ip any any

这样就可以限制外网只能访问内网的web服务了。注意，这只是一个基本的配置示例，具体配置需要根据实际情况进行调整