如何讓企業的某個部分只能訪問內網,不能訪問外網,這個在企業實際應用中非常廣泛,為了保密,會使企業的部分網絡禁止與外部通信。
這裡面我們就需要用到ACL了,首先我們來了解下ACL,ACL即訪問控制列表,那麼它有什麼作用呢?
ACL的作用
1、ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
2、ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
3、ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
4、ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:
某部門要求只能使用 WWW 這個功能,就可以通過ACL實現;
又例如,
為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
那麼我們來看下實例,如何實現使用 ACL 限制內網主機訪問外網。
案例
某公司通過交換機實現各部門之間的互連。現要求Switch能夠禁止研發部和市場部的部分主機訪問外網,防止公司機密洩露。以華為例。
1、拓撲圖
如何讓企業的某個部分只能訪問內網,不能訪問外網,這個在企業實際應用中非常廣泛,為了保密,會使企業的部分網絡禁止與外部通信。
這裡面我們就需要用到ACL了,首先我們來了解下ACL,ACL即訪問控制列表,那麼它有什麼作用呢?
ACL的作用
1、ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
2、ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
3、ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
4、ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:
某部門要求只能使用 WWW 這個功能,就可以通過ACL實現;
又例如,
為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
那麼我們來看下實例,如何實現使用 ACL 限制內網主機訪問外網。
案例
某公司通過交換機實現各部門之間的互連。現要求Switch能夠禁止研發部和市場部的部分主機訪問外網,防止公司機密洩露。以華為例。
1、拓撲圖
2、配置思路
採用如下的思路在Switch上進行配置:
1、配置基本ACL和基於ACL的流分類,使設備可以對研發部與市場部的指定主機的 報文進行過濾。
2、配置流行為,拒絕匹配上ACL的報文通過。
3. 配置並應用流策略,使ACL和流行為生效。
步驟1 配置接口所屬的VLAN以及接口的IP地址
# 創建VLAN10和VLAN20。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE0/0/1、GE0/0/2為trunk類型接口,並分別加入VLAN10和 VLAN20;配置Switch的接口GE0/0/3為trunk類型接口,加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 創建VLANIF10和VLANIF20,並配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
這裡面普及下vlanif接口和vlan端口的區別:
(1)vlan端口:是物理端口,通常我們通過配置access vlan 10 使某個物理接口屬於vlan 10
(2)vlan if :interface vlan 是邏輯端口,通常這個接口地址作為vlan下面用戶的網關。
步驟2 配置ACL
# 創建基本ACL 2001並配置ACL規則,拒絕源IP地址為10.1.1.11和10.1.2.12的主機的報 文通過。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //禁止IP地址為10.1.1.11的主機訪問外網
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //禁止IP地址為10.1.2.12的主機訪問外網
[Switch-acl-basic-2001] quit
步驟3 配置基於基本ACL的流分類
#配置基於基本ACL的流分類 # 配置流分類tc1,對匹配ACL 2001的報文進行分類。
[Switch] traffic classifier tc1 //創建流分類
[Switch-classifier-tc1] if-match acl 2001 //將ACL與流分類關聯
[Switch-classifier-tc1] quit
步驟4 配置流行為
# 配置流行為tb1,動作為拒絕報文通過。
[Switch] traffic behavior tb1 //創建流行為
[Switch-behavior-tb1] deny //配置流行為動作為拒絕報文通過 [Switch-behavior-tb1] quit
步驟5 配置流策略
# 定義流策略,將流分類與流行為關聯。
[Switch] traffic policy tp1 //創建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //將流分類tc1與流行為tb1關聯
[Switch-trafficpolicy-tp1] quit
步驟6 在接口下應用流策略
# 由於內網主機訪問外網的流量均從接口GE0/0/3出口流向Internet,所以可以在接口 GE0/0/3的出方向應用流策略。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流策略應用在接口出方向
[Switch-GigabitEthernet0/0/3] quit
3、驗收配置結果
# 查看ACL規則的配置信息
如何讓企業的某個部分只能訪問內網,不能訪問外網,這個在企業實際應用中非常廣泛,為了保密,會使企業的部分網絡禁止與外部通信。
這裡面我們就需要用到ACL了,首先我們來了解下ACL,ACL即訪問控制列表,那麼它有什麼作用呢?
ACL的作用
1、ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
2、ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
3、ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
4、ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:
某部門要求只能使用 WWW 這個功能,就可以通過ACL實現;
又例如,
為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
那麼我們來看下實例,如何實現使用 ACL 限制內網主機訪問外網。
案例
某公司通過交換機實現各部門之間的互連。現要求Switch能夠禁止研發部和市場部的部分主機訪問外網,防止公司機密洩露。以華為例。
1、拓撲圖
2、配置思路
採用如下的思路在Switch上進行配置:
1、配置基本ACL和基於ACL的流分類,使設備可以對研發部與市場部的指定主機的 報文進行過濾。
2、配置流行為,拒絕匹配上ACL的報文通過。
3. 配置並應用流策略,使ACL和流行為生效。
步驟1 配置接口所屬的VLAN以及接口的IP地址
# 創建VLAN10和VLAN20。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE0/0/1、GE0/0/2為trunk類型接口,並分別加入VLAN10和 VLAN20;配置Switch的接口GE0/0/3為trunk類型接口,加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 創建VLANIF10和VLANIF20,並配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
這裡面普及下vlanif接口和vlan端口的區別:
(1)vlan端口:是物理端口,通常我們通過配置access vlan 10 使某個物理接口屬於vlan 10
(2)vlan if :interface vlan 是邏輯端口,通常這個接口地址作為vlan下面用戶的網關。
步驟2 配置ACL
# 創建基本ACL 2001並配置ACL規則,拒絕源IP地址為10.1.1.11和10.1.2.12的主機的報 文通過。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //禁止IP地址為10.1.1.11的主機訪問外網
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //禁止IP地址為10.1.2.12的主機訪問外網
[Switch-acl-basic-2001] quit
步驟3 配置基於基本ACL的流分類
#配置基於基本ACL的流分類 # 配置流分類tc1,對匹配ACL 2001的報文進行分類。
[Switch] traffic classifier tc1 //創建流分類
[Switch-classifier-tc1] if-match acl 2001 //將ACL與流分類關聯
[Switch-classifier-tc1] quit
步驟4 配置流行為
# 配置流行為tb1,動作為拒絕報文通過。
[Switch] traffic behavior tb1 //創建流行為
[Switch-behavior-tb1] deny //配置流行為動作為拒絕報文通過 [Switch-behavior-tb1] quit
步驟5 配置流策略
# 定義流策略,將流分類與流行為關聯。
[Switch] traffic policy tp1 //創建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //將流分類tc1與流行為tb1關聯
[Switch-trafficpolicy-tp1] quit
步驟6 在接口下應用流策略
# 由於內網主機訪問外網的流量均從接口GE0/0/3出口流向Internet,所以可以在接口 GE0/0/3的出方向應用流策略。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流策略應用在接口出方向
[Switch-GigabitEthernet0/0/3] quit
3、驗收配置結果
# 查看ACL規則的配置信息
# 查看流分類的配置信息。
如何讓企業的某個部分只能訪問內網,不能訪問外網,這個在企業實際應用中非常廣泛,為了保密,會使企業的部分網絡禁止與外部通信。
這裡面我們就需要用到ACL了,首先我們來了解下ACL,ACL即訪問控制列表,那麼它有什麼作用呢?
ACL的作用
1、ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
2、ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
3、ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
4、ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:
某部門要求只能使用 WWW 這個功能,就可以通過ACL實現;
又例如,
為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
那麼我們來看下實例,如何實現使用 ACL 限制內網主機訪問外網。
案例
某公司通過交換機實現各部門之間的互連。現要求Switch能夠禁止研發部和市場部的部分主機訪問外網,防止公司機密洩露。以華為例。
1、拓撲圖
2、配置思路
採用如下的思路在Switch上進行配置:
1、配置基本ACL和基於ACL的流分類,使設備可以對研發部與市場部的指定主機的 報文進行過濾。
2、配置流行為,拒絕匹配上ACL的報文通過。
3. 配置並應用流策略,使ACL和流行為生效。
步驟1 配置接口所屬的VLAN以及接口的IP地址
# 創建VLAN10和VLAN20。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE0/0/1、GE0/0/2為trunk類型接口,並分別加入VLAN10和 VLAN20;配置Switch的接口GE0/0/3為trunk類型接口,加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 創建VLANIF10和VLANIF20,並配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
這裡面普及下vlanif接口和vlan端口的區別:
(1)vlan端口:是物理端口,通常我們通過配置access vlan 10 使某個物理接口屬於vlan 10
(2)vlan if :interface vlan 是邏輯端口,通常這個接口地址作為vlan下面用戶的網關。
步驟2 配置ACL
# 創建基本ACL 2001並配置ACL規則,拒絕源IP地址為10.1.1.11和10.1.2.12的主機的報 文通過。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //禁止IP地址為10.1.1.11的主機訪問外網
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //禁止IP地址為10.1.2.12的主機訪問外網
[Switch-acl-basic-2001] quit
步驟3 配置基於基本ACL的流分類
#配置基於基本ACL的流分類 # 配置流分類tc1,對匹配ACL 2001的報文進行分類。
[Switch] traffic classifier tc1 //創建流分類
[Switch-classifier-tc1] if-match acl 2001 //將ACL與流分類關聯
[Switch-classifier-tc1] quit
步驟4 配置流行為
# 配置流行為tb1,動作為拒絕報文通過。
[Switch] traffic behavior tb1 //創建流行為
[Switch-behavior-tb1] deny //配置流行為動作為拒絕報文通過 [Switch-behavior-tb1] quit
步驟5 配置流策略
# 定義流策略,將流分類與流行為關聯。
[Switch] traffic policy tp1 //創建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //將流分類tc1與流行為tb1關聯
[Switch-trafficpolicy-tp1] quit
步驟6 在接口下應用流策略
# 由於內網主機訪問外網的流量均從接口GE0/0/3出口流向Internet,所以可以在接口 GE0/0/3的出方向應用流策略。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流策略應用在接口出方向
[Switch-GigabitEthernet0/0/3] quit
3、驗收配置結果
# 查看ACL規則的配置信息
# 查看流分類的配置信息。
# 查看流策略的配置信息。
如何讓企業的某個部分只能訪問內網,不能訪問外網,這個在企業實際應用中非常廣泛,為了保密,會使企業的部分網絡禁止與外部通信。
這裡面我們就需要用到ACL了,首先我們來了解下ACL,ACL即訪問控制列表,那麼它有什麼作用呢?
ACL的作用
1、ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
2、ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
3、ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
4、ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:
某部門要求只能使用 WWW 這個功能,就可以通過ACL實現;
又例如,
為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
那麼我們來看下實例,如何實現使用 ACL 限制內網主機訪問外網。
案例
某公司通過交換機實現各部門之間的互連。現要求Switch能夠禁止研發部和市場部的部分主機訪問外網,防止公司機密洩露。以華為例。
1、拓撲圖
2、配置思路
採用如下的思路在Switch上進行配置:
1、配置基本ACL和基於ACL的流分類,使設備可以對研發部與市場部的指定主機的 報文進行過濾。
2、配置流行為,拒絕匹配上ACL的報文通過。
3. 配置並應用流策略,使ACL和流行為生效。
步驟1 配置接口所屬的VLAN以及接口的IP地址
# 創建VLAN10和VLAN20。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE0/0/1、GE0/0/2為trunk類型接口,並分別加入VLAN10和 VLAN20;配置Switch的接口GE0/0/3為trunk類型接口,加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 創建VLANIF10和VLANIF20,並配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
這裡面普及下vlanif接口和vlan端口的區別:
(1)vlan端口:是物理端口,通常我們通過配置access vlan 10 使某個物理接口屬於vlan 10
(2)vlan if :interface vlan 是邏輯端口,通常這個接口地址作為vlan下面用戶的網關。
步驟2 配置ACL
# 創建基本ACL 2001並配置ACL規則,拒絕源IP地址為10.1.1.11和10.1.2.12的主機的報 文通過。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //禁止IP地址為10.1.1.11的主機訪問外網
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //禁止IP地址為10.1.2.12的主機訪問外網
[Switch-acl-basic-2001] quit
步驟3 配置基於基本ACL的流分類
#配置基於基本ACL的流分類 # 配置流分類tc1,對匹配ACL 2001的報文進行分類。
[Switch] traffic classifier tc1 //創建流分類
[Switch-classifier-tc1] if-match acl 2001 //將ACL與流分類關聯
[Switch-classifier-tc1] quit
步驟4 配置流行為
# 配置流行為tb1,動作為拒絕報文通過。
[Switch] traffic behavior tb1 //創建流行為
[Switch-behavior-tb1] deny //配置流行為動作為拒絕報文通過 [Switch-behavior-tb1] quit
步驟5 配置流策略
# 定義流策略,將流分類與流行為關聯。
[Switch] traffic policy tp1 //創建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //將流分類tc1與流行為tb1關聯
[Switch-trafficpolicy-tp1] quit
步驟6 在接口下應用流策略
# 由於內網主機訪問外網的流量均從接口GE0/0/3出口流向Internet,所以可以在接口 GE0/0/3的出方向應用流策略。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流策略應用在接口出方向
[Switch-GigabitEthernet0/0/3] quit
3、驗收配置結果
# 查看ACL規則的配置信息
# 查看流分類的配置信息。
# 查看流策略的配置信息。
IP地址為10.1.1.11和10.1.2.12的主機無法訪問外網,其他主機均可以訪問外網。
相關推薦
