使用基本ACL限制公司网络访问
1.项目背景
Jan16公司有开发部、市场部和财务部,各有计算机若干台、财务系统服务器1台,使用三层交换机进行局域网组建,并通过路由器连接至外部网络。出于数据安全的考虑,需要在交换机上进行访问控制。项目拓扑如图1所示。具体要求如下: (1)SW1上为开发部、市场部、财务部及财务系统分别创建了VLAN10、20、30、40;
(2)要求财务系统服务器仅允许财务部进行访问;
视频贴片广告(3)财务系统服务器仅在内网使用,不允许访问外部网络;
(4)测试计算机、交换机和路由器的IP和接口信息如拓扑所示。
图1 网络拓扑图
2.项目规划设计
三层交换机的访问控制策略主要是通过ACL访问控制列表对不同VLAN的IP地址段进行流量匹配控制。标准ACL可以对IP包进行源地址匹配,即检查通过IP包中的源地址信息,如果源地址与ACL中的规则相匹配,就执行放行或拦截的操作。为了让其它部门无法访问财务系统服务器,可以在三层交换机中配置匹配财务部IP地址段、拒绝其他所有IP的ACL,并在G0/0/2接口的OUT方向上应用;同时在添加拒绝财务部系统服务器IP地址段的ACL,在G0/0/1接口的OUT方向上应用,组织财务部系统服务器访问外部网络。外部网络连接方面,三层交换机配置默认路由指向出口路由器。出口路由器可根据ISP接入方式采用对应的路由协议,这里不作描述。 配置步骤如下:
(1)配置交换机基础环境
(2)配置路由器基础环境
(3)配置基本ACL访问控制
(4)配置各部门计算机的IP地址自制路由器天线
具体规划如下表:
3.项目实施
(1)配置交换机基础环境
②将各部门计算机所使用的端口类型转换为ACCESS模式,并设置接口PVID,将端口划分到相应的VLAN
(2)配置路由器基础环境
以车代磨(3)配置基本ACL控制访问
皮尔斯电子
①在交换机上配置ACL规则,允许数据包源网段为192.168.30.0的报文通过。将规则
化妆品柜台
(4)配置各部门计算机的IP地址
图2 财务系统服务器 IP配置图无心磨床自动上料机
图3 开发部PC IP配置图
图4 市场部PC IP配置图
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议