【简介】前面我们为了所有VLAN都可以上网,开启了交换机的路由功能,但现实情况是需要限制某些VLAN之间的互相访问,这就需要用到ACL(访问控制列表)功能了。
什么是ACL
ACL就是一些访问规则的有序集合,在配置ACL的端口上,收、发通信都会与所配置的ACL规则一一比较,一旦有匹配的规则项,则立即应用,后面的规则将被忽略。ACL能够控制交换机、路由器或防火墙接口上允许或禁止路由包通过,以此来实现网络通信的过滤。
从应用位置来看,Cisco设备支持RACL(路由器ACL)、PACL(端口ACL)和VACL(虚拟局域网ACL)。这里我们重点了解一下VACL。
VACL就是基于VLAN的ACL,是ACL的一种扩展应用,将一个已经建好的ACL应用到一个VLAN中。VACL的关键技术就是VLAN映射(VLAN Map),实际上是一种VLAN访问映射表,将指定VLAN中的所有二层和三层通信都映射到指定的ACL中。它不是用来控制不同VLAN间的通信,而是控制一个VLAN内部的通信通过。
访问需求
根据前面所做的规划,我们将不同部门和应用都划分了VLAN,每个部门所需要访问的内容不同。首先我们看看规划表。
VLAN号 | 中文名称 | 英文名称 | 端口 | IP地址 | 网关 |
VLAN11 | 行政部 | Administration | gi1/0/1 | 172.16.1.0 | 172.16.1.254 |
VLAN12 | 财务部 | Finance | gi/1/0/2 | 172.16.2.0 | 172.16.2.254 |
VLAN13 | 业务部 | Sales | gi/1/0/3 | 172.16.3.0 | 172.16.3.254 |
VLAN14 | 采购部 | Purchase | gi/1/0/4 | 172.16.4.0 | 172.16.4.254 |
VLAN15 | 生产部 | Production | gi/1/0/5 | 172.16.5.0 | 172.16.5.254 |
VLAN16 | 售后部 | Services | gi1/0/6 | 172.16.6.0 | 172.16.6.254 |
VLAN21 | 服务器 | Server | gi1/0/7-10 | 172.18.1.0 | 172.18.1.254 |
VLAN22 | 打印机 | Printer | gi1/0/11-14 | 172.18.2.0 | 172.18.2.254 |
VLAN23 | 无线 | Wifi | gi1/0/15-18 | 172.18.3.0 | 172.18.3.254 |
VLAN24 | 视频会议 | VoIP | gi1/0/19-20 | 172.18.4.0 | 172.18.4.254 |
VLAN25 | 监控 | Monitor | gi/1/0/21 | 172.18.5.0 | 172.18.5.254 |
VLAN26 | 门禁考勤 | Check | gi/1/0/22-23 | 172.18.6.0 | 172.18.6.254 |
VLAN30 | 互联网 | Wan | gi/1/0/24 | 172.20.1.0 | 172.20.1.254 |
① 各部门VLAN:一个对于安全比较严格的企业,各部门之间应该是要禁止互相访问的,禁止互相共享文件夹,所有的文件交流都是通过服务器来完成。
② 各应用VLAN:所有部门都会用到服务器与打印机,但只有行政部可以管理视频会议、监控和门禁考勤。
③ 无线VLAN:可以利用无线AP设备将访问分为内部访问和访客访问,内部访问需要通过验证,然后可以访问服务器和打印机,访客访问只能上网,并有流量限制。
④ 其它部门VLAN:部门之间不能互相访问,都可以访问服务器和打印机。
访问设置
根据访问需求,我们来设置第一个行政部访问控制。
① 配置行政部访问控制:
(1) configure terminal命令进入全局配置模式。
(2) access-list命令设置访问列表,后面跟着列表号,不要直接用VLAN号,后面会搞混来,这里用VLAN号加1进行区分。
(3) deny表示禁止通过,permit表示允许通过。
(4) IP地址后面的掩码与常用子网掩码不同,称为反掩码,反掩码=255.255.255.255-子网掩码。
(5) permit ip any any命令表示允许任意访问。因为前面命令已经将各VLAN之间的是否互访定义完成,如果不加这段命令,VLAN的DHCP功能将失效,并且也不能上网。
(6) interface vlan命令进入VLAN设置。
(7) ip access-group in命令在VLAN接口入方向上应用ACL。
② 配置财务部访问控制,因为VACL不区分inbound和outbound,前面已经配置了行政部与财务部的访部规则,所以这里不用再次定义。
③ 经过测试,财务部可以访问服务器,不能访问无线,同样无线也不能访问财务部。定义的规则有效。
查看、取消访问控制
当对访问控制有疑问或需要取消时,就要用到下面操作了。
① show access-list命令可以查看访问控制列表。
② no ip access-group in命令取消VLAN接口的ACL应用。
③ no access-list命令删除指定的访问控制列表。