【简介】前面我们为了所有VLAN都可以上网,开启了交换机的路由功能,但现实情况是需要限制某些VLAN之间的互相访问,这就需要用到ACL(访问控制列表)功能了。
什么是ACL
ACL就是一些访问规则的有序集合,在配置ACL的端口上,收、发通信都会与所配置的ACL规则一一比较,一旦有匹配的规则项,则立即应用,后面的规则将被忽略。ACL能够控制交换机、路由器或防火墙接口上允许或禁止路由包通过,以此来实现网络通信的过滤。
从应用位置来看,Cisco设备支持RACL(路由器ACL)、PACL(端口ACL)和VACL(虚拟局域网ACL)。这里我们重点了解一下VACL。
VACL就是基于VLAN的ACL,是ACL的一种扩展应用,将一个已经建好的ACL应用到一个VLAN中。VACL的关键技术就是VLAN映射(VLAN Map),实际上是一种VLAN访问映射表,将指定VLAN中的所有二层和三层通信都映射到指定的ACL中。它不是用来控制不同VLAN间的通信,而是控制一个VLAN内部的通信通过。
访问需求
根据前面所做的规划,我们将不同部门和应用都划分了VLAN,每个部门所需要访问的内容不同。首先我们看看规划表。
VLAN号中文名称英文名称端口IP地址网关VLAN11行政部Administrationgi1/0/1172.16.1.0172.16.1.254VLAN12财务部Financegi/1/0/2172.16.2.0172.16.2.254VLAN13业务部Salesgi/1/0/3172.16.3.0172.16.3.254VLAN14采购部Purchasegi/1/0/4172.16.4.0172.16.4.254VLAN15生产部Productiongi/1/0/5172.16.5.0172.16.5.254VLAN16售后部Servicesgi1/0/6172.16.6.0172.16.6.254VLAN21服务器Servergi1/0/7-10172.18.1.0172.18.1.254VLAN22打印机Printergi1/0/11-14172.18.2.0172.18.2.254VLAN23无线Wifigi1/0/15-18172.18.3.0172.18.3.254VLAN24视频会议VoIPgi1/0/19-20172.18.4.0172.18.4.254VLAN25监控Monitorgi/1/0/21172.18.5.0172.18.5.254VLAN26门禁考勤Checkgi/1/0/22-23172.18.6.0172.18.6.254VLAN30互联网Wangi/1/0/24172.20.1.0172.20.1.254① 各部门VLAN:一个对于安全比较严格的企业,各部门之间应该是要禁止互相访问的,禁止互相共享文件夹,所有的文件交流都是通过服务器来完成。
② 各应用VLAN:所有部门都会用到服务器与打印机,但只有行政部可以管理视频会议、监控和门禁考勤。
③ 无线VLAN:可以利用无线AP设备将访问分为内部访问和访客访问,内部访问需要通过验证,然后可以访问服务器和打印机,访客访问只能上网,并有流量限制。
④ 其它部门VLAN:部门之间不能互相访问,都可以访问服务器和打印机。
访问设置
根据访问需求,我们来设置第一个行政部访问控制。
① 配置行政部访问控制:
(1) configure terminal命令进入全局配置模式。
(2) access-list命令设置访问列表,后面跟着列表号,不要直接用VLAN号,后面会搞混来,这里用VLAN号加1进行区分。
(3) deny表示禁止通过,permit表示允许通过。
(4) IP地址后面的掩码与常用子网掩码不同,称为反掩码,反掩码=255.255.255.255-子网掩码。
(5) permit ip any any命令表示允许任意访问。因为前面命令已经将各VLAN之间的是否互访定义完成,如果不加这段命令,VLAN的DHCP功能将失效,并且也不能上网。
(6) interface vlan命令进入VLAN设置。
(7) ip access-group in命令在VLAN接口入方向上应用ACL。
② 配置财务部访问控制,因为VACL不区分inbound和outbound,前面已经配置了行政部与财务部的访部规则,所以这里不用再次定义。
③ 经过测试,财务部可以访问服务器,不能访问无线,同样无线也不能访问财务部。定义的规则有效。
查看、取消访问控制
当对访问控制有疑问或需要取消时,就要用到下面操作了。
① show access-list命令可以查看访问控制列表。
② no ip access-group in命令取消VLAN接口的ACL应用。
③ no access-list命令删除指定的访问控制列表。