交换机应用ACL控制不同部门的网络权限.doc

交换机应用——ACL控制不同部门的网络权限 TL-SG5428交换机系列 背景 公司不同部门拥有不同的网络权限，这就需要网络中的交换机通过设置ACL来实现了。 用户需求 某公司有3个部门研发部、销售部、财务部，另外还有一个服务器机房，及外网线路。该公司要求三个部门相互不能互访，销售部和财务部能够访问外网，研发部门不能访问外网，三个部门都能访问内网服务器。 拓扑结构 配置指南 步骤1： 对网络进行合理规划，划分VLAN，及配置VLAN ip 参考TL-SG5428应用——多网段网络规划配置指南 步骤2： 权限分析： 研发部门能够访问服务器，但是不能访问销售、财务和外网 需要3条ACL规则： 1、 研发部门允许访问自身 2、 研发部门允许访问服务器 3、 研发部门禁止访问其他 销售部门能够访问服务器和外网，但是不能访问研发和财务部门 需要2条ACL规则： 1、 销售部门禁止访问研发部门 2、 销售部门禁止访问财务部门 财务部门能够访问服务器和外网，但是不能访问研发和销售 需要2条规则： 1、 财务部门禁止访问研发部门 2、 财务部门禁止访问销售部门 步骤3： 根据权限分析进入交换机进行配置： 进入管理界面—访问控制—ACL配置—新建ACL 新建3条标准IP访问控制列表 ID分别为100、 101、 102 分别对应研发部门、销售部门、财务部门 进入管理界面—访问控制—ACL配置—标准IP ACL 选择ACL 100 规则 1 允许源 IP172.16.0.0 掩码 255.255.255.0 访问 目的IP172.16.0.0 掩码 255.255.255.0 规则 2 允许 源IP172.16.0.0 掩码255.255.255.0访问 目地 IP 172.16.3.0 掩码 255.255.255.0，点击提交 规则3 丢弃 源IP 172.16.0.0 掩码 255.255.255.0 目的IP匹配所有，点击提交 选择 ACL 101 规则4 丢弃 源 IP 192.168.1.0 掩码 255.255.255.0 访问 目的IP 192.168.0.0 掩码 255.255.255.0 ，点击提交 规则5 丢弃 源 IP 192.168.1.0 掩码 255.255.255.0 访问 目的IP 192.168.2.0 掩码255.255.255.0，点击提交 选择 ACL 102 规则6 丢弃 源 IP 192.168.2.0 掩码 255.255.255.0 访问 目的IP 192.168.0.0 掩码 255.255.255.0 ，点击提交 规则7 丢弃 源 IP 192.168.2.0 掩码 255.255.255.0 访问 目的IP 192.168.1.0 掩码 255.255.255.0 ，点击提交 进入管理界面—访问控制—policy配置—新建policy 新建RD、Sales、Financial三个policy，分别对于研发、销售、财务部门 进入管理界面—访问控制— policy配置—配置policy 分别将RD绑定 ACL100,Sales绑定ACL101,Financial绑定ACL102 进入管理界面—访问控制—绑定配置—VLAN 绑定 将RD、Sales、Financial三个policy分别绑定到VLAN2 VLAN3 VLAN4 这样就可以实现对各个部门的权限控制了。