對於企業網路,經常會用到存取控制,例如 限制員工的上網時間 ? 或如何 控制各部門之間的網路互通等等 ,在實際企業網路計畫中經常會遇到,這裏面我們就可以用到 ACL存取列表控制 了,本期我們一起來看下,如何利用ACL禁止外網存取公司內網伺服器。
一、什麽是ACL?
首先我們來了解下ACL,ACL即存取控制列表,那麽它有什麽作用呢?
(ACL)存取控制列表是一種基於包過濾的存取控制技術,它可以根據 設定的條件 對介面上的 封包進行過濾 ,允許其 透過或丟棄 。
存取控制列表被廣泛地套用於 路由器 和 三層交換機 ,借助於存取控制列表,可以有效地 控制使用者對網路的存取 ,從而最大程度地 保障網路安全 。
例如:
為了某部門的保密性,不允許其存取外網,也不允許外網存取它,就可以透過ACL實作。那麽我們來看下例項,如何利用ACL實作禁止外網存取公司內網伺服器。
二、ACL禁止外網存取公司內網伺服器
幾乎大部份公司都有自己內部伺服器,裏面有一些公司保密性的內容,只供內部員工進入, 禁止外部網路存取 ,大部份公司都會做這樣的 限制 ,我們來看下這個華為的例項。
一、例項要求
某公司透過交換機實作各部門之間的互連。要求只允許公司內網使用者可以存取內網中的財務伺服器,外網使用者不允許存取。
二、配置步驟
1、配置介面加入VLAN,並配置VLANIF介面的IP地址
# 將 GE1/0/1~GE1/0/3 分別加入VLAN10、20、30,這三個vlan中,也就是給公司三個部門各分配一個vlan。
GE2/0/1加入VLAN100,並配置各VLANIF介面的IP地址,也就是 內網財務伺服器 的埠單獨加一個vlan。
下面配置以GE1/0/1和VLANIF 10介面
下面配置以GE1/0/2和VLANIF 20介面
下面配置以GE1/0/3和VLANIF30介面
下面配置以GE2/0/1和VLANIF100介面
那麽所有的部份對應的介面都已經配置完了。
這裏面說下VLAN與VLANIF的區別:
通俗的說,vlan就是一個二層的介面。
VLANIF 就是建立三層介面,可以在上面配置IP的,上面的例子就配置了ip,通常這個介面地址作為vlan下面使用者的閘道器。
2、配置ACL
# 建立高級ACL 3002並配置ACL規則,允許位於內網的 總裁辦公室 、 市場部 和 研發部 存取 財務伺服器 的報文透過, 拒絕外網使用者存取 財務伺服器的報文透過。
3、配置基於ACL的流分類
# 配置流分類c_network,對匹配ACL 3002的報文進行分類。
4、配置流行為
# 配置流行為b_network,動作為允許報文透過(缺省值,不需配置)。
5、配置流策略
# 配置流策略p_network,將流分類c_network與流行為b_network關聯。
6、套用流策略
# 由於內外網存取伺服器的流量均從 介面GE2/0/1 出口 流向伺服器 ,所以可以在GE2/0/1介面的出方向 套用流策略p_network 。
