網絡安全、ACl通路控制，多部門之間單向通路控制。

全文手動碼字，歡迎點贊、評論、讨論、學習

需要案例所有裝置配置腳本的，請留言，我将一一回複。

老闆想看财務資料，老闆娘管财務不給看，生産部門想上網，網絡如何管控？

實作行政部生産部禁止通路财務部，财務部通路所有網絡。

本文講述典型的企業部門之間單向通路，讀者可根據企業規模進行擴充，靈活配置。

涉及的主要技術有：ACL通路控制，三層交換、靜态路由、Nat等。

拓撲采用eNsp提供。交換機配置由華為5720三層交換機真機提供，eNsp該版本配置完細化acl後不生效（知道原因的還請賜教）。

一、案例目的：

1、實作行政部通路生産部，通路外網，禁止通路财務部。

2、實作生産部通路行政部、禁止通路财務部，禁止通路外網。

3、财務部可通路所有部門。

二、案例拓撲：

三、測試結果：

1、實作行政部通路生産部，通路外網，禁止通路财務部。

行政部PC1 ping 财務部PC2 禁止通訊。

2、實作生産部通路行政部、禁止通路财務部，禁止通路外網。

生産部PC3 ping 行政部PC1 通訊正常。

生産部PC3 ping 财務部PC2 禁止通訊。

生産部PC3 ping 外網 通訊正常。

3、财務部可通路所有部門。

财務 通路生産部（其他省略）

四、裝置配置資訊：（提供重要裝置SW配置資訊）

SW1：

[SW1]di cu

sysname SW1

#

vlan batch 2 to 4

#

acl number 3000 （定義擴充acl控制清單）

rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 icmp-type echo （禁止行政部向财務部發起ICMP請求資料）

rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 tcp-flag syn （禁止行政部向财務部發起TCP請求資料）

rule 15 permit ip （允許所有通訊）

acl number 3001 （定義擴充acl控制清單）

rule 5 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 （允許生産部通路行政部）

rule 10 permit icmp source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 icmp-type echo-reply （允許生産部到财務部的ICMP回複資料包）

rule 15 permit tcp source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 tcp-flag ack syn （允許生産部到财務部的TCP回複資料包）

rule 20 deny ip （禁止所有通訊）

#

traffic classifier acl operator or （建立流分類名稱acl，關聯acl3000)

if-match acl 3000

traffic classifier v4 operator or （建立流分類名稱v4，關聯acl3001)

if-match acl 3001

#

traffic behavior acl2 (建立流行為名稱為acl2）

permit

traffic behavior v44 (建立流行為名稱為v44）

permit

#

traffic policy p1 match-order config (建立流政策p1 将流分類和流行為綁定）

classifier acl behavior acl2

traffic policy p2 match-order config (建立流政策p2 将流分類和流行為綁定）

classifier v4 behavior v44

#

interface Vlanif1

ip address 10.1.1.2 255.255.255.0

#

interface Vlanif2

ip address 192.168.2.254 255.255.255.0

#

interface Vlanif3

ip address 192.168.3.254 255.255.255.0

#

interface Vlanif4

ip address 192.168.4.254 255.255.255.0

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 2

traffic-policy p1 inbound （入接口綁定流政策p1)

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 3

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 4

traffic-policy p2 inbound （入接口綁定流政策p2)

#

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 (預設路由）

#

[SW1]

----------完結-----------