知方号

知方号

交换篇14. 限制 VLAN 之间互相访问 ❀ C3750<其他部门不能访问财务部>

        【简介】前面我们为了所有VLAN都可以上网,开启了交换机的路由功能,但现实情况是需要限制某些VLAN之间的互相访问,这就需要用到ACL(访问控制列表)功能了。

  什么是ACL

        ACL就是一些访问规则的有序集合,在配置ACL的端口上,收、发通信都会与所配置的ACL规则一一比较,一旦有匹配的规则项,则立即应用,后面的规则将被忽略。ACL能够控制交换机、路由器或防火墙接口上允许或禁止路由包通过,以此来实现网络通信的过滤。

        从应用位置来看,Cisco设备支持RACL(路由器ACL)、PACL(端口ACL)和VACL(虚拟局域网ACL)。这里我们重点了解一下VACL。

        VACL就是基于VLAN的ACL,是ACL的一种扩展应用,将一个已经建好的ACL应用到一个VLAN中。VACL的关键技术就是VLAN映射(VLAN Map),实际上是一种VLAN访问映射表,将指定VLAN中的所有二层和三层通信都映射到指定的ACL中。它不是用来控制不同VLAN间的通信,而是控制一个VLAN内部的通信通过。

  访问需求

       根据前面所做的规划,我们将不同部门和应用都划分了VLAN,每个部门所需要访问的内容不同。首先我们看看规划表。

VLAN号中文名称英文名称端口IP地址网关VLAN11行政部Administrationgi1/0/1172.16.1.0172.16.1.254VLAN12财务部Financegi/1/0/2172.16.2.0172.16.2.254VLAN13业务部Salesgi/1/0/3172.16.3.0172.16.3.254VLAN14采购部Purchasegi/1/0/4172.16.4.0172.16.4.254VLAN15生产部Productiongi/1/0/5172.16.5.0172.16.5.254VLAN16售后部Servicesgi1/0/6172.16.6.0172.16.6.254VLAN21服务器Servergi1/0/7-10172.18.1.0172.18.1.254VLAN22打印机Printergi1/0/11-14172.18.2.0172.18.2.254VLAN23无线Wifigi1/0/15-18172.18.3.0172.18.3.254VLAN24视频会议VoIPgi1/0/19-20172.18.4.0172.18.4.254VLAN25监控Monitorgi/1/0/21172.18.5.0172.18.5.254VLAN26门禁考勤Checkgi/1/0/22-23172.18.6.0172.18.6.254VLAN30互联网Wangi/1/0/24172.20.1.0172.20.1.254

        ① 各部门VLAN:一个对于安全比较严格的企业,各部门之间应该是要禁止互相访问的,禁止互相共享文件夹,所有的文件交流都是通过服务器来完成。

        ② 各应用VLAN:所有部门都会用到服务器与打印机,但只有行政部可以管理视频会议、监控和门禁考勤。

        ③ 无线VLAN:可以利用无线AP设备将访问分为内部访问和访客访问,内部访问需要通过验证,然后可以访问服务器和打印机,访客访问只能上网,并有流量限制。

        ④ 其它部门VLAN:部门之间不能互相访问,都可以访问服务器和打印机。

  访问设置

       根据访问需求,我们来设置第一个行政部访问控制。

        ① 配置行政部访问控制:

        (1) configure terminal命令进入全局配置模式。

        (2) access-list命令设置访问列表,后面跟着列表号,不要直接用VLAN号,后面会搞混来,这里用VLAN号加1进行区分。

        (3) deny表示禁止通过,permit表示允许通过。

        (4) IP地址后面的掩码与常用子网掩码不同,称为反掩码,反掩码=255.255.255.255-子网掩码。

        (5) permit ip any any命令表示允许任意访问。因为前面命令已经将各VLAN之间的是否互访定义完成,如果不加这段命令,VLAN的DHCP功能将失效,并且也不能上网。

        (6) interface vlan命令进入VLAN设置。

        (7) ip access-group in命令在VLAN接口入方向上应用ACL。

        ② 配置财务部访问控制,因为VACL不区分inbound和outbound,前面已经配置了行政部与财务部的访部规则,所以这里不用再次定义。

        ③ 经过测试,财务部可以访问服务器,不能访问无线,同样无线也不能访问财务部。定义的规则有效。

  查看、取消访问控制

        当对访问控制有疑问或需要取消时,就要用到下面操作了。

        ① show access-list命令可以查看访问控制列表。

        ② no ip access-group in命令取消VLAN接口的ACL应用。

        ③ no access-list命令删除指定的访问控制列表。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至lizi9903@foxmail.com举报,一经查实,本站将立刻删除。