RTR-0016 控制部门间互访.pptVIP

第一章 访问控制列表（ACL）原理与配置 ACL应用位置 经理说到，标准ACL只能匹配源IP，如果我们在SW1上配置阻断源为技术部的数据包，那么两边的技术部便无法访问了。 因此对于标准的ACL，我们一般放在尽可能靠近目的的地方去写，例如，这里，可以在SW2和SW3上连接财务部的接口的out方向配置标准ACL，阻断源IP为技术部的用户访问。 小锐听完，原来一个小小的ACL里边的学问挺多的，想用好还是挺不容易的。 第 *页 / 共 4页 二层交换机 SW3 二层交换机 SW2 三层交换机 SW1 技术部 技术部 财务部 财务部 1 2 3 1 2 3 24 24 2 1 PC1 PC2 /24 /24 第一章 访问控制列表（ACL）原理与配置 章节小结 小锐在这个章节中学习了ACL，知道ACL的用途，知道标准ACL和扩展ACL的区分。另外，小锐也掌握了ACL的匹配依据，练习了如何根据需求写ACL。后边还学习了基于时间的ACL，让小锐觉得ACL的功能之强大。 最后小锐和经理探讨了ACL应用位置的问题，让小锐觉得ACL使用的灵活。 解决完所有的问题后，小锐结合自己的理解，跟经理详细汇报了一下自己学习ACL的心得。 章节练习 标准ACL和扩展ACL有什么区别？ ACL在接口上的应用方向与数据流、接口的关系 ACL中若存在多条ACE语句，那么匹配的规则是什么样的？ 尝试在不同的设备和不同的方向上使用ACL来达到课程中阻止技术部访问财务部的需求。 第 *页 / 共 4页 星网锐捷网络有限公司 地址：北京海淀区复兴路33号翠微大厦东楼11层1101单元 邮编：100036 Office Tel: 010 Mobile Tel: Fax: 010 E-Mail: xxx@ 第 *页 / 共 4页 第 *页 / 共 4页 课程说明 课程适用人员： 适用于渠道工程师、中锐工程师、客户以及内部工程师 课程特点： 以刚入职的工程师“小锐”学习成长路线为背景素材，贯穿项目案例，方便新学员入门 课程注重实用，强化配置案例，方便学员学习后遇到类似的项目能快速上手配置。 知识点明确，通过回顾和练习重复课程重点。 第 *页 / 共 4页 06 控制部门间互访 技术培训中心/锐捷网络 第 *页 / 共 4页 公共技术系列课程 最近有个客户要改造网络，提了个需求。由于客户的财务系统最近实施了信息化改造，基本所有的业务都通过网络来访问。这样的改造确实大大加快了客户的工作效率，但是财务处的主管也有个担心，现在的系统都是用网络连起来的，如果其他人员监听或者非法访问了财务处的信息，将给公司造成巨大损失。想求助小锐的公司能不能解决这个问题。 二层交换机 二层交换机 三层交换机 技术部 技术部 财务部 财务部 1 2 3 1 2 3 24 24 2 1 第 *页 / 共 4页 公共技术系列课程 看到这个拓扑，小锐想起来之前有个项目也有类似的需求，当时是使用了vlan和trunk的方式进行隔离的。 当时还没有学习三层交换机，现在拓扑中的三层交换机让原来用vlan隔离的网络又重新互通了。这个问题如何解决呢？ 由于小锐后来没有跟进早期的那个项目，不太了解，他就来请教经理，想问问之前那个项目后来是怎么实现的。 二层交换机 二层交换机 三层交换机 技术部 技术部 财务部 财务部 1 2 3 1 2 3 24 24 2 1 第 *页 / 共 4页 公共技术系列课程 小锐找经理说明了情况，经理夸小锐分析的还是比较清楚。同时也告诉小锐，当时使用ACL来进行隔离的。 经理给了小锐一个学习胶片，让小锐看看，明天给他聊聊学习成果。经理每次总是给小锐指引学习方向，让小锐信心十足，答应保证完成好。 二层交换机 二层交换机 三层交换机 技术部 技术部 财务部 财务部 1 2 3 1 2 3 24 24 2 1 第一章 访问控制列表（ACL）原理与配置 控制部门间互访 第一章 访问控制列表（ACL）原理与配置 ACL： Access Control Lists，访问控制列表 默认交换机和路由器按照之前学习过的转发规则来转发数据。如果我们想对一部分数据进行特殊的控制，我们可以使用访问控制列表。 例如在这个案例中，默认技术部和财务部经过三层交换机会互访，此时，我们可以配置访问控制列表，控制数据的转发。 第 *页 / 共 4页 二层交换机 二层交换机 三层交换机 技术部 技术部 财务部 财务部 1 2 3 1 2 3 24 24 2 1 第一章 访问控制列表（ACL）原理与配置 ACL的实现 ACL通过反掩码匹配特性的数据，我们可以指定转发或者丢弃这些数据。例如，我们想禁止0来访问0，可以如下定义一