全文手動碼字,歡迎點贊、評論、讨論、學習
需要案例所有裝置配置腳本的,請留言,我将一一回複。
老闆想看财務資料,老闆娘管财務不給看,生産部門想上網,網絡如何管控?
實作行政部生産部禁止通路财務部,财務部通路所有網絡。
本文講述典型的企業部門之間單向通路,讀者可根據企業規模進行擴充,靈活配置。
涉及的主要技術有:ACL通路控制,三層交換、靜态路由、Nat等。
拓撲采用eNsp提供。交換機配置由華為5720三層交換機真機提供,eNsp該版本配置完細化acl後不生效(知道原因的還請賜教)。
一、案例目的:
1、實作行政部通路生産部,通路外網,禁止通路财務部。
2、實作生産部通路行政部、禁止通路财務部,禁止通路外網。
3、财務部可通路所有部門。
二、案例拓撲:
三、測試結果:
1、實作行政部通路生産部,通路外網,禁止通路财務部。
行政部PC1 ping 财務部PC2 禁止通訊。
2、實作生産部通路行政部、禁止通路财務部,禁止通路外網。
生産部PC3 ping 行政部PC1 通訊正常。
生産部PC3 ping 财務部PC2 禁止通訊。
生産部PC3 ping 外網 通訊正常。
3、财務部可通路所有部門。
财務 通路生産部(其他省略)
四、裝置配置資訊:(提供重要裝置SW配置資訊)
SW1:
[SW1]di cu
sysname SW1
#
vlan batch 2 to 4
#
acl number 3000 (定義擴充acl控制清單)
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 icmp-type echo (禁止行政部向财務部發起ICMP請求資料)
rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 tcp-flag syn (禁止行政部向财務部發起TCP請求資料)
rule 15 permit ip (允許所有通訊)
acl number 3001 (定義擴充acl控制清單)
rule 5 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 (允許生産部通路行政部)
rule 10 permit icmp source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 icmp-type echo-reply (允許生産部到财務部的ICMP回複資料包)
rule 15 permit tcp source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 tcp-flag ack syn (允許生産部到财務部的TCP回複資料包)
rule 20 deny ip (禁止所有通訊)
#
traffic classifier acl operator or (建立流分類名稱acl,關聯acl3000)
if-match acl 3000
traffic classifier v4 operator or (建立流分類名稱v4,關聯acl3001)
if-match acl 3001
#
traffic behavior acl2 (建立流行為名稱為acl2)
permit
traffic behavior v44 (建立流行為名稱為v44)
permit
#
traffic policy p1 match-order config (建立流政策p1 将流分類和流行為綁定)
classifier acl behavior acl2
traffic policy p2 match-order config (建立流政策p2 将流分類和流行為綁定)
classifier v4 behavior v44
#
interface Vlanif1
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif2
ip address 192.168.2.254 255.255.255.0
#
interface Vlanif3
ip address 192.168.3.254 255.255.255.0
#
interface Vlanif4
ip address 192.168.4.254 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
traffic-policy p1 inbound (入接口綁定流政策p1)
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 3
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 4
traffic-policy p2 inbound (入接口綁定流政策p2)
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 (預設路由)
#
[SW1]
----------完結-----------