背景

公司不同部門擁有不同的網(wǎng)絡(luò)權(quán)限，這就需要網(wǎng)絡(luò)中的交換機(jī)通過設(shè)置ACL來實(shí)現(xiàn)了。

用戶需求

某公司有3個(gè)部門研發(fā)部、銷售部、財(cái)務(wù)部，另外還有一個(gè)服務(wù)器機(jī)房，及外網(wǎng)線路。該公司要求三個(gè)部門相互不能互訪，銷售部和財(cái)務(wù)部能夠訪問外網(wǎng)，研發(fā)部門不能訪問外網(wǎng)，三個(gè)部門都能訪問內(nèi)網(wǎng)服務(wù)器。

拓?fù)浣Y(jié)構(gòu)

配置指南

步驟1：

對(duì)網(wǎng)絡(luò)進(jìn)行合理規(guī)劃，劃分VLAN，及配置VLAN ip

參考TL-SG5428應(yīng)用——多網(wǎng)段網(wǎng)絡(luò)規(guī)劃配置指南

步驟2：

權(quán)限分析：

研發(fā)部門能夠訪問服務(wù)器，但是不能訪問銷售、財(cái)務(wù)和外網(wǎng)

需要3條ACL規(guī)則：

1、 研發(fā)部門允許訪問自身

2、 研發(fā)部門允許訪問服務(wù)器

3、 研發(fā)部門禁止訪問其他

銷售部門能夠訪問服務(wù)器和外網(wǎng)，但是不能訪問研發(fā)和財(cái)務(wù)部門

需要2條ACL規(guī)則：

1、 銷售部門禁止訪問研發(fā)部門

2、 銷售部門禁止訪問財(cái)務(wù)部門

財(cái)務(wù)部門能夠訪問服務(wù)器和外網(wǎng)，但是不能訪問研發(fā)和銷售

需要2條規(guī)則：

1、 財(cái)務(wù)部門禁止訪問研發(fā)部門

2、 財(cái)務(wù)部門禁止訪問銷售部門

步驟3：

根據(jù)權(quán)限分析進(jìn)入交換機(jī)進(jìn)行配置：

進(jìn)入管理界面—>訪問控制—>ACL配置—>新建ACL

新建3條標(biāo)準(zhǔn)IP訪問控制列表 ID分別為100、 101、 102

分別對(duì)應(yīng)研發(fā)部門、銷售部門、財(cái)務(wù)部門

進(jìn)入管理界面—>訪問控制—>ACL配置—>標(biāo)準(zhǔn)IP ACL

選擇ACL 100

規(guī)則 1 允許源 IP172.16.0.0 掩碼 255.255.255.0 訪問 目的IP172.16.0.0 掩碼 255.255.255.0

規(guī)則 2 允許 源IP172.16.0.0 掩碼255.255.255.0訪問 目地 IP 172.16.3.0 掩碼 255.255.255.0，點(diǎn)擊提交

規(guī)則3 丟棄 源IP 172.16.0.0 掩碼 255.255.255.0 目的IP匹配所有，點(diǎn)擊提交

選擇 ACL 101

規(guī)則4 丟棄 源 IP 172.16.1.0 掩碼 255.255.255.0 訪問 目的IP 172.16.0.0 掩碼 255.255.255.0 ，點(diǎn)擊提交

規(guī)則5 丟棄 源 IP 172.16.1.0 掩碼 255.255.255.0 訪問 目的IP 172.16.2.0 掩碼255.255.255.0，點(diǎn)擊提交

選擇 ACL 102

規(guī)則6 丟棄 源 IP 172.16.2.0 掩碼 255.255.255.0 訪問 目的IP 172.16.0.0 掩碼 255.255.255.0 ，點(diǎn)擊提交

規(guī)則7 丟棄 源 IP 172.16.2.0 掩碼 255.255.255.0 訪問 目的IP 172.16.1.0 掩碼 255.255.255.0 ，點(diǎn)擊提交

進(jìn)入管理界面—>訪問控制—>policy配置—>新建policy

新建RD、Sales、Financial三個(gè)policy，分別對(duì)于研發(fā)、銷售、財(cái)務(wù)部門

進(jìn)入管理界面—>訪問控制—> policy配置—>配置policy

分別將RD綁定 ACL100,Sales綁定ACL101,Financial綁定ACL102

進(jìn)入管理界面—>訪問控制—>綁定配置—>VLAN 綁定

將RD、Sales、Financial三個(gè)policy分別綁定到VLAN2 VLAN3 VLAN4

這樣就可以實(shí)現(xiàn)對(duì)各個(gè)部門的權(quán)限控制了。