全文手动码字,欢迎点赞、评论、讨论、学习
需要案例所有设备配置脚本的,请留言,我将一一回复。
老板想看财务数据,老板娘管财务不给看,生产部门想上网,网络如何管控?
实现行政部生产部禁止访问财务部,财务部访问所有网络。
本文讲述典型的企业部门之间单向访问,读者可根据企业规模进行扩展,灵活配置。
涉及的主要技术有:ACL访问控制,三层交换、静态路由、Nat等。
拓扑采用eNsp提供。交换机配置由华为5720三层交换机真机提供,eNsp该版本配置完细化acl后不生效(知道原因的还请赐教)。
一、案例目的:
1、实现行政部访问生产部,访问外网,禁止访问财务部。
2、实现生产部访问行政部、禁止访问财务部,禁止访问外网。
3、财务部可访问所有部门。
二、案例拓扑:
三、测试结果:
1、实现行政部访问生产部,访问外网,禁止访问财务部。
行政部PC1 ping 财务部PC2 禁止通讯。
2、实现生产部访问行政部、禁止访问财务部,禁止访问外网。
生产部PC3 ping 行政部PC1 通讯正常。
生产部PC3 ping 财务部PC2 禁止通讯。
生产部PC3 ping 外网 通讯正常。
3、财务部可访问所有部门。
财务 访问生产部(其他省略)
四、设备配置信息:(提供重要设备SW配置信息)
SW1:
[SW1]di cu
sysname SW1
#
vlan batch 2 to 4
#
acl number 3000 (定义扩展acl控制列表)
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 icmp-type echo (禁止行政部向财务部发起ICMP请求数据)
rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 tcp-flag syn (禁止行政部向财务部发起TCP请求数据)
rule 15 permit ip (允许所有通讯)
acl number 3001 (定义扩展acl控制列表)
rule 5 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 (允许生产部访问行政部)
rule 10 permit icmp source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 icmp-type echo-reply (允许生产部到财务部的ICMP回复数据包)
rule 15 permit tcp source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 tcp-flag ack syn (允许生产部到财务部的TCP回复数据包)
rule 20 deny ip (禁止所有通讯)
#
traffic classifier acl operator or (创建流分类名称acl,关联acl3000)
if-match acl 3000
traffic classifier v4 operator or (创建流分类名称v4,关联acl3001)
if-match acl 3001
#
traffic behavior acl2 (创建流行为名称为acl2)
permit
traffic behavior v44 (创建流行为名称为v44)
permit
#
traffic policy p1 match-order config (创建流策略p1 将流分类和流行为绑定)
classifier acl behavior acl2
traffic policy p2 match-order config (创建流策略p2 将流分类和流行为绑定)
classifier v4 behavior v44
#
interface Vlanif1
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif2
ip address 192.168.2.254 255.255.255.0
#
interface Vlanif3
ip address 192.168.3.254 255.255.255.0
#
interface Vlanif4
ip address 192.168.4.254 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
traffic-policy p1 inbound (入接口绑定流策略p1)
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 3
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 4
traffic-policy p2 inbound (入接口绑定流策略p2)
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 (默认路由)
#
[SW1]
----------完结-----------