使用基本ACL限制公司网络访问
1.项目背景
Jan16公司有开发部、市场部和财务部,各有计算机若干台、财务系统服务器1台,使用三层交换机进行局域网组建,并通过路由器连接至外部网络。出于数据安全的考虑,需要在交换机上进行访问控制。项目拓扑如图1所示。具体要求如下:
(1) SW1上为开发部、市场部、财务部及财务系统分别创建了VLAN10、20、30、40;
(2) 要求财务系统服务器仅允许财务部进行访问;
(3) 财务系统服务器仅在内网使用,不允许访问外部网络;
(4) 测试计算机、交换机和路由器的IP和接口信息如拓扑所示。
2.项目规划设计
三层交换机的访问控制策略主要是通过ACL访问控制列表对不同VLAN的IP地址段进行流量匹配控制。标准ACL可以对IP包进行源地址匹配,即检查通过IP包中的源地址信息,如果源地址与ACL中的规则相匹配,就执行放行或拦截的操作。为了让其它部门无法访问财务系统服务器,可以在三层交换机中配置匹配财务部IP地址段、拒绝其他所有IP的ACL,并在G0/0/2接口的OUT方向上应用;同时在添加拒绝财务部系统服务器IP地址段的ACL,在G0/0/1接口的OUT方向上应用,阻止财务部系统服务器访问外部网络。外部网络连接方面,三层交换机配置默认路由指向出口路由器。出口路由器可根据ISP接入方式采用对应的路由协议,这里不作描述。
配置步骤如下:
(1) 配置交换机基础环境
(2) 配置路由器基础环境
(3) 配置基本ACL访问控制
(4) 配置各部门计算机的IP地址
具体规划如下表:
由题意已知各接口IP以及有四个VLAN,先进入接口配置IP和vlan
由于这里老师给的交换机是S5700,题目是S3700,问过老师之后让我们直接按照拓补图做VLAN划分就可以了,不用管IP规划表
相当于就是圈上的全部不用做
如果是S3700,只需要根据更改相应的端口并加入就可以了,是一样的做法
由拓补图和规划表已知有五个vlan,10,20,30,40,50,先创建vlan
[SW1]vlan batch 10 20 30 40 50
Info: This operation may take a few seconds. Please wait for a moment...done.
然后根据拓补图把相应端口划分到相应VLAN里
在这里我们可以看到比如GE0/0/2对应vlan40
[SW1-GigabitEthernet0/0/2]port-ty
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port def
[SW1-GigabitEthernet0/0/2]port default vlan 40
[SW1-GigabitEthernet0/0/2]
[SW1-GigabitEthernet0/0/2]int gig 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 10
[SW1-GigabitEthernet0/0/3]int gig 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 20
[SW1-GigabitEthernet0/0/4]int gig 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 30
[SW1-GigabitEthernet0/0/5]int gig 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 50
然后配置VLAN的IP地址:
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
#
interface Vlanif40
ip address 192.168.40.254 255.255.255.0
#
interface Vlanif50
ip address 192.168.1.254 255.255.255.0
然后配置一条默认路由指向路由器G0/0/0的IP地址,也就是如图所示的接口
我们可以在IP地址规划表那里看到IP为192.168.1.1
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
然后配置路由器的IP地址
我们可以在IP地址规划表这里看到IP地址
[Huawei]system-view
[Huawei]sysname R1
[R1]undo in info-center enable
[R1]int G0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.124
[R1]int G0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.10.10.124
然后配置路由器的静态路由的目的地址分别为VLAN10,20,30,40,这样路由才能通
[R1]ip route-static 192.168.10.0 255.255.255.0 192.168.1.254
[R1]ip route-static 192.168.20.0 255.255.255.0 192.168.1.254
[R1]ip route-static 192.168.30.0 255.255.255.0 192.168.1.254
[R1]ip route-static 192.168.40.0 255.255.255.0 192.168.1.254
由题意要求,加粗的是重点,则做出相应配置
由于做的是基础的acl,所以采用acl 2000和2001
这里做的是这一题:
由于需要匹配财务部,财务部是192.168.30.0/24网段所以做出如下配置并在G0/0/2接口outbound应用:
acl number 2000
rule 5 permit source 192.168.30.0 0.0.0.255
rule 10 deny
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 40
traffic-filter outbound acl 2000
这里做的是这一题:
由于需要拒绝财务部系统服务器IP网段,既192.168.40.0/24网段,并且阻止财务部系统服务器访问外网:
acl number 2001
rule 5 deny source 192.168.40.0 0.0.0.255
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 50
traffic-filter outbound acl 2001
#