首先,明确各部门的网络需求。假设公司有研发部、销售部、财务部三个部门,以及一个服务器机房和一条外网线路。需求如下:各部门间不能互访,销售部和财务部可访问外网,研发部不可访问外网,但所有部门均可访问内网服务器。
### 网络规划与VLAN划分
第一步是对网络进行合理规划,划分VLAN并配置VLAN IP。例如,将研发部划分到VLAN 10,销售部到VLAN 20,财务部到VLAN 30,服务器机房到VLAN 40。每个VLAN配置独立的ip地址段,如研发部为192.168.10.0/24,销售部为192.168.20.0/24,以此类推。
### 权限分析与ACL规则设计
接下来,进行权限分析并设计相应的ACL规则。
1. **研发部**: - 允许访问自身VLAN(192.168.10.0/24)。 - 允许访问服务器VLAN(192.168.40.0/24)。 - 禁止访问销售部和财务部VLAN(192.168.20.0/24和192.168.30.0/24)。 - 禁止访问外网。
2. **销售部**: - 允许访问服务器VLAN(192.168.40.0/24)。 - 允许访问外网。 - 禁止访问研发部和财务部VLAN(192.168.10.0/24和192.168.30.0/24)。
3. **财务部**: - 允许访问服务器VLAN(192.168.40.0/24)。 - 允许访问外网。 - 禁止访问研发部和销售部VLAN(192.168.10.0/24和192.168.20.0/24)。
### 交换机配置步骤
进入交换机管理界面,按照以下步骤进行配置:
1. **新建ACL**: - 创建三个标准IP访问控制列表,ID分别为100、101、102,分别对应研发部、销售部、财务部。
2. **配置ACL规则**: - **ACL 100(研发部)**: - 规则1:允许源IP 192.168.10.0/24访问目的IP 192.168.10.0/24。 - 规则2:允许源IP 192.168.10.0/24访问目的IP 192.168.40.0/24。 - 规则3:禁止源IP 192.168.10.0/24访问其他IP段。 - **ACL 101(销售部)**: - 规则1:禁止源IP 192.168.20.0/24访问目的IP 192.168.10.0/24。 - 规则2:禁止源IP 192.168.20.0/24访问目的IP 192.168.30.0/24。 - **ACL 102(财务部)**: - 规则1:禁止源IP 192.168.30.0/24访问目的IP 192.168.10.0/24。 - 规则2:禁止源IP 192.168.30.0/24访问目的IP 192.168.20.0/24。
3. **绑定ACL到VLAN**: - 创建三个policy,分别命名为RD、Sales、Financial。 - 将RD绑定到ACL 100,Sales绑定到ACL 101,Financial绑定到ACL 102。 - 将这三个policy分别绑定到对应的VLAN 10、VLAN 20、VLAN 30。
### 验证与调整
完成配置后,进行网络验证,确保各部门的网络权限符合预期。可以通过ping测试、访问服务器和外网等方式进行验证。若发现权限不符合要求,需重新检查ACL规则和绑定配置,进行必要的调整。
通过以上步骤,可以有效实现公司各部门的网络权限控制,确保信息安全和工作效率。需要注意的是,网络环境复杂多变,实际操作中可能需要根据具体情况灵活调整配置策略。
背景
公司不同部门拥有不同的网络权限,这就需要网络中的交换机通过设置ACL来实现了。
某公司有3个部门研发部、销售部、财务部,另外还有一个服务器机房,及外网线路。该公司要求三个部门相互不能互访,销售部和财务部能够访问外网,研发部门不能访问外网,三个部门都能访问内网服务器。
配置指南
步骤1:
对网络进行合理规划,划分VLAN,及配置VLAN ip
步骤2:
权限分析:
研发部门能够访问服务器,但是不能访问销售、财务和外网
需要3条ACL规则:
1、 研发部门允许访问自身
2、 研发部门允许访问服务器
3、 研发部门禁止访问其他
销售部门能够访问服务器和外网,但是不能访问研发和财务部门
需要2条ACL规则:
1、 销售部门禁止访问研发部门
2、 销售部门禁止访问财务部门
财务部门能够访问服务器和外网,但是不能访问研发和销售
需要2条规则:
1、 财务部门禁止访问研发部门
2、 财务部门禁止访问销售部门
步骤3:
根据权限分析进入交换机进行配置:
进入管理界面—>访问控制—>ACL配置—>新建ACL
新建3条标准IP访问控制列表 ID分别为100、 101、 102
分别对应研发部门、销售部门、财务部门
进入管理界面—>访问控制—>ACL配置—>标准IP ACL
选择ACL 100
规则 1 允许源 IP172.16.0.0 掩码 255.255.255.0 访问 目的IP172.16.0.0 掩码 255.255.255.0
规则 2 允许 源IP172.16.0.0 掩码255.255.255.0访问 目地 IP 172.16.3.0 掩码 255.255.255.0,点击提交
规则3 丢弃 源IP 172.16.0.0 掩码 255.255.255.0 目的IP匹配所有,点击提交
选择 ACL 101
规则4 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ,点击提交
规则5 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.2.0 掩码255.255.255.0,点击提交
选择 ACL 102
规则6 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ,点击提交
规则7 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.1.0 掩码 255.255.255.0 ,点击提交
进入管理界面—>访问控制—>policy配置—>新建policy
新建RD、Sales、Financial三个policy,分别对于研发、销售、财务部门
进入管理界面—>访问控制—> policy配置—>配置policy
分别将RD绑定 ACL100,Sales绑定ACL101,Financial绑定ACL102
进入管理界面—>访问控制—>绑定配置—>VLAN 绑定
将RD、Sales、Financial三个policy分别绑定到VLAN2 VLAN3 VLAN4
这样就可以实现对各个部门的权限控制了。
