1. 配置网络分段(VLAN)
VLAN(虚拟局域网) 用于将同一物理网络的不同设备逻辑分隔,提高网络安全性和管理效率。
(1) 实操步骤
-
规划VLAN结构:
- 根据部门或功能划分VLAN,例如:
- VLAN 10:管理部门
- VLAN 20:研发部门
- VLAN 30:访客网络
- VLAN 40:服务器区
- 根据部门或功能划分VLAN,例如:
-
配置交换机上的VLAN:
- 进入交换机配置模式,创建并命名VLAN:
Switch(config)# vlan 10 Switch(config-vlan)# name Management Switch(config)# vlan 20 Switch(config-vlan)# name Development将交换机的接口分配到对应VLAN
Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10配置Trunk端口(连接交换机或路由器):
Switch(config)# interface GigabitEthernet0/24 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan 10,20,30,403.配置路由器/三层交换机实现VLAN间通信:在三层交换机上启用VLAN接口(SVI):
Switch(config)# interface vlan 10 Switch(config-if)# ip address 192.168.10.1 255.255.255.0 Switch(config-if)# no shutdown4.限制VLAN间通信(隔离部分VLAN):配置ACL规则,限制VLAN间访问(详见后文)。
(2) 案例
场景:
某公司希望限制访客网络(VLAN 30)仅能访问互联网,不能访问其他内部网络。解决方案:将访客接入交换机的接口配置到VLAN 30。在路由器上配置ACL规则,允许VLAN 30访问外网,禁止访问其他VLAN
Router(config)# access-list 101 deny ip 192.168.30.0 0.0.0.255 192.168.0.0 0.0.255.255 Router(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 any Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip access-group 101 in2. 配置访问控制列表(ACL)
ACL(访问控制列表) 用于过滤进出网络的流量,限制不必要的访问。
(1) 实操步骤
-
规划ACL规则:
- 明确需要允许和禁止的流量。
- 优先级从最具体到最广泛,最后添加默认拒绝规则(implicit deny)。
-
配置ACL规则:
- 标准ACL(基于源IP地址限制):
- 允许VLAN 10访问服务器,禁止其他VLAN访问。
Router(config)# access-list 10 permit 192.168.10.0 0.0.0.255 Router(config)# access-list 10 deny any Router(config)# interface vlan 40 Router(config-if)# ip access-group 10 in扩展ACL(基于源/目的IP和协议限制):
- 禁止研发部门(VLAN 20)通过HTTP访问服务器:
Router(config)# access-list 110 deny tcp 192.168.20.0 0.0.0.255 192.168.40.0 0.0.0.255 eq 80 Router(config)# access-list 110 permit ip any any Router(config)# interface vlan 20 Router(config-if)# ip access-group 110 in应用ACL到接口:
- 配置ACL绑定到出入口:
Router(config)# interface GigabitEthernet0/1 Router(config-if)# ip access-group 110 out验证与优化:
- 验证ACL的匹配计数器,确认流量是否被正确过滤:
Router# show access-lists 110定期优化规则,移除过时的条目。
(2) 案例
场景:
某公司希望禁止员工在工作时间访问娱乐类网站,但允许访问公司内部资源。解决方案:
- 配置ACL规则限制特定域名的访问:
Router(config)# ip domain-list blacklist.com Router(config)# ip domain-list example-entertainment.com Router(config)# access-list 120 deny tcp any host 10.0.0.1 eq 443 Router(config)# access-list 120 permit ip any any配置时间段限制(time-based ACL):
Router(config)# time-range WORKTIME Router(config-time-range)# periodic weekdays 9:00 to 17:00 Router(config)# access-list 130 deny tcp any host 10.0.0.1 eq 443 time-range WORKTIME Router(config)# access-list 130 permit ip any any3. VLAN与ACL协作应用
综合案例
场景:
一个中型企业有以下需求:管理部门与研发部门需隔离,但管理部门可以访问研发的测试服务器。访客网络只能访问互联网。解决方案:配置VLAN隔离:- 管理部门:VLAN 10
- 研发部门:VLAN 20
- 访客网络:VLAN 30
- 配置ACL规则:
- 限制VLAN 10访问VLAN 20的测试服务器:内部员工不能在工作时间访问娱乐网站。
Router(config)# access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.10 0.0.0.0 Router(config)# access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255访客网络只能访问外网:
Router(config)# access-list 101 deny ip 192.168.30.0 0.0.0.255 192.168.0.0 0.0.255.255 Router(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 any限制娱乐网站访问:
Router(config)# access-list 102 deny tcp any host 10.0.0.1 eq 443 time-range WORKTIME
- 限制VLAN 10访问VLAN 20的测试服务器:内部员工不能在工作时间访问娱乐网站。
- 允许VLAN 10访问服务器,禁止其他VLAN访问。
- 标准ACL(基于源IP地址限制):
- 进入交换机配置模式,创建并命名VLAN:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
