公司内部网络访问的限制措施

任务引言

在公司内部有些部门是不允许其他部门访问的，如果做物理隔离，则被保护的部门对局域网的访问也会被限制。可以通过通信手段去限制，其中标准访问控制列表是重要的手段。标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过交换机或路由器的出口。

学习目标

了解标准访问控制列表的概念；

掌握标准控制列表的配置方法。

知识引入

1．访问控制列表概述

访问控制列表（Access Control List，ACL）由匹配条件和采取的动作（允许或禁止）的语句组成。在对应的网络设备的接口中应用访问控制列表，则通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝。访问控制列表判断数据包的依据是源地址、目的地址、源端口、目的端口和协议等。

访问控制列表可以限制网络流量、提高网络性能、控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。

2．访问控制列表的类型

访问控制列表可分为标准IP访问控制列表和扩展IP访问控制列表。

标准IP访问控制列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问控制列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。

3．ACL的相关特性

每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。

ACL语句包括两个动作：一个是拒绝（deny），即拒绝数据包通过，过滤掉数据包；一个是允许（permit），即允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的ACL起作用。

在路由选择决定以后，应用在接口离开方向的ACL起作用。

每个ACL的结尾有一个隐含的“拒绝所有数据包（deny all）”的语句。

【工作任务】——部门网络对外访问限制

1．工作任务背景

千山公司深圳总公司技术研发部的数据很重要，保密级别非常高。公司要求对该部门进行逻辑隔离，即在不影响其他部门通信的情况下，该部门的计算机不能被其他部门访问，如图3-6-1所示。

图3-6-1　标准访问控制列表

2．工作任务分析

将PC1接入技术研发部，即交换机s2 VLAN30的端口，PC2为测试计算机，可以接到交换机的任何一个VLAN。按照深圳总公司网络完成连线，当配置成功后，如果PC2在VLAN30的端口，PC2能ping 通PC1，否则PC2 ping 不通PC1。环境设备如表3-6-1和表3-6-2所示。

表3-6-1　部门网络信息

表3-6-2　部门PC信息

在配置标准访问控制列表前，无论PC2接到哪个VLAN，都能ping通PC1，但配置相应ACL后则除VLAN30外PC2都ping不通PC1。

【任务实现】

1．配置交换机标识，划分VLAN并添加端口成员

switch#config

switch（Config）#hostname s2

s2（Config）#vlan 10

s2（Config-Vlan10）#switchport interface Ethernet 0/0/1-4

s2（Config-Vlan10）#exit

s2（Config）#vlan 20

s2（Config-Vlan20）#switchport interface Ethernet 0/0/5-8

s2（Config-Vlan20）#exit

s2（Config）#vlan 30

s2（Config-Vlan30）#switchport interface Ethernet 0/0/9-12

s2（Config-Vlan30）#exit

s2（Config）#vlan 40

s2（Config-Vlan40）#switchport interface Ethernet 0/0/13-16

s2（Config-Vlan40）#exit

s2（Config）#vlan 50

s2（Config-Vlan50）#switchport interface Ethernet 0/0/17-20

s2（Config-Vlan50）#exit(www.xing528.com)

2．添加VLAN SVI地址

s2（Config）#interface vlan 10

s2（Config-If-Vlan10）#ip address 192.168.10.1 255.255.255.0

s2（Config-If-Vlan10）#no shutdown

s2（Config-If-Vlan10）#exit

s2（Config）#interface vlan 20

s2（Config-If-Vlan20）#ip address 192.168.20.1 255.255.255.0

s2（Config-If-Vlan20）#no shutdown

s2（Config-If-Vlan20）#exit

s2（Config）#interface vlan 30

s2（Config-If-Vlan30）#ip address 192.168.30.1 255.255.255.0

s2（Config-If-Vlan30）#no shutdown

s2（Config-If-Vlan30）#exit

s2（Config）#interface vlan 40

s2（Config-If-Vlan40）#ip address 192.168.40.1 255.255.255.0

s2（Config-If-Vlan40）#no shutdown

s2（Config-If-Vlan40）#exit

s2（Config）#interface vlan 50

s2（Config-If-Vlan50）#ip address 192.168.50.1 255.255.255.0

s2（Config-If-Vlan50）#no shutdown

s2（Config-If-Vlan50）#exit

3．初步验证

这时PC1能ping通PC2，如图3-6-2所示。

图3-6-2　PC连通性测试

4．配置访问控制列表并绑定相应端口

s2（Config）#ip access-list standard acl

s2（Config-Std-Nacl-acl）#deny 192.168.10.0 0.0.0.255

s2（Config-Std-Nacl-acl）#deny 192.168.20.00.0.0.255

s2（Config-Std-Nacl-acl）#deny 192.168.40.0 0.0.0.255

s2（Config-Std-Nacl-acl）#deny 192.168.50.00.0.0.255

s2（Config-Std-Nacl-acl）#exit

s2（Config）#interface Ethernet0/0/9-12

s2（Config-portgroup）#ip access-group acl out

s2（Config-portgroup）#exit

5．开启访问控制列表功能

s2（Config）#firewall enable

6．验证实验

实验验证如表3-6-3所示。

表3-6-3　实验验证表

【问题探究】

（1）上面实训中能否将标准ACL绑定到其他VLAN的端口，为什么？

（2）标准ACL的具体应用。【知识拓展】

Acces-list <num> {deny|permit} {{<IPAddr><Mask>}|host-source <IPAddr>>}}说明：配置数字标准访问控制列表，num为数字。应用举例：access-list 11 deny 192.168.1.1 0.0.0.255。

【任务拓展】

请利用所学知识限制珠海分公司销售部、市场调研部和行政部对财务部的访问。部门VLAN信息如表3-6-4所示。

表3-6-4　部门VLAN信息