對于企業(yè)網(wǎng)絡(luò)，經(jīng)常會用到訪問控制，例如限制員工的上網(wǎng)時間？或如何控制各部門之間的網(wǎng)絡(luò)互通等等，在實際企業(yè)網(wǎng)絡(luò)項目中經(jīng)常會遇到，這里面我們就可以用到ACL訪問列表控制了，本期我們一起來看下，如何利用ACL禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器。

一、什么是ACL？

首先我們來了解下ACL，ACL即訪問控制列表，那么它有什么作用呢？

(ACL)訪問控制列表是一種基于包過濾的訪問控制技術(shù)，它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進(jìn)行過濾，允許其通過或丟棄。

訪問控制列表被廣泛地應(yīng)用于路由器和三層交換機，借助于訪問控制列表，可以有效地控制用戶對網(wǎng)絡(luò)的訪問，從而最大程度地保障網(wǎng)絡(luò)安全。

例如：

為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL實現(xiàn)。那么我們來看下實例，如何利用ACL實現(xiàn)禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器。

二、ACL禁止外網(wǎng)訪問公司內(nèi)網(wǎng)服務(wù)器

幾乎大部分公司都有自己內(nèi)部服務(wù)器，里面有一些公司保密性的內(nèi)容，只供內(nèi)部員工進(jìn)入，禁止外部網(wǎng)絡(luò)訪問，大部分公司都會做這樣的限制，我們來看下這個華為的實例。

一、實例要求

某公司通過交換機實現(xiàn)各部門之間的互連。要求只允許公司內(nèi)網(wǎng)用戶可以訪問內(nèi)網(wǎng)中的財務(wù)服務(wù)器，外網(wǎng)用戶不允許訪問。

二、配置步驟

1、配置接口加入VLAN，并配置VLANIF接口的IP地址

# 將GE1/0/1～GE1/0/3分別加入VLAN10、20、30，這三個vlan中，也就是給公司三個部門各分配一個vlan。

GE2/0/1加入VLAN100，并配置各VLANIF接口的IP地址，也就是內(nèi)網(wǎng)財務(wù)服務(wù)器的端口單獨加一個vlan。

下面配置以GE1/0/1和VLANIF 10接口

下面配置以GE1/0/2和VLANIF 20接口

下面配置以GE1/0/3和VLANIF30接口

下面配置以GE2/0/1和VLANIF100接口

那么所有的部分對應(yīng)的接口都已經(jīng)配置完了。

這里面說下VLAN與VLANIF的區(qū)別：

通俗的說，vlan就是一個二層的接口。

VLANIF就是創(chuàng)建三層接口，可以在上面配置IP的，上面的例子就配置了ip，通常這個接口地址作為vlan下面用戶的網(wǎng)關(guān)。

2、配置ACL

# 創(chuàng)建高級ACL 3002并配置ACL規(guī)則，允許位于內(nèi)網(wǎng)的總裁辦公室、市場部和研發(fā)部訪問財務(wù)服務(wù)器的報文通過，拒絕外網(wǎng)用戶訪問財務(wù)服務(wù)器的報文通過。

3、配置基于ACL的流分類

# 配置流分類c_network，對匹配ACL 3002的報文進(jìn)行分類。

4、配置流行為

# 配置流行為b_network，動作為允許報文通過（缺省值，不需配置）。

5、配置流策略

# 配置流策略p_network，將流分類c_network與流行為b_network關(guān)聯(lián)。

6、應(yīng)用流策略

# 由于內(nèi)外網(wǎng)訪問服務(wù)器的流量均從接口GE2/0/1出口流向服務(wù)器，所以可以在GE2/0/1接口的出方向應(yīng)用流策略p_network。