TLSG5428应用ACL控制不同部门的网络权限.pdf

TL-SG5428 应用——ACL 控制不同部门的网络权限 背景 公司不同部门拥有不同的网络权限，这就需要网络中的交换机通过设置 ACL 来实现了。 用户需求 某公司有 3 个部门研发部、销售部、财务部，另外还有一个服务器机房，及外网线路。该公司要求三个部 门相互不能互访，销售部和财务部能够访问外网，研发部门不能访问外网，三个部门都能访问内网服务器。 拓扑结构 配置指南 步骤 1 ： 对网络进行合理规划，划分 VLAN ，及配置 VLAN ip 参考 TL-SG5428TL-SG5428 应用——多网段网络规划配置指南应用——多网段网络规划配置指南 步骤 2 ： 权限分析： 研发部门能够访问服务器，但是不能访问销售、财务和外网 需要 3 条 ACL 规则： 1、 研发部门允许访问自身 2、 研发部门允许访问服务器 3、 研发部门禁止访问其他 销售部门能够访问服务器和外网，但是不能访问研发和财务部门 需要 2 条 ACL 规则： 1、 销售部门禁止访问研发部门 2、 销售部门禁止访问财务部门 财务部门能够访问服务器和外网，但是不能访问研发和销售 需要 2 条规则： 1、 财务部门禁止访问研发部门 2、 财务部门禁止访问销售部门 步骤 3 ： 根据权限分析进入交换机进行配置： 进入管理界面— 访问控制—ACL 配置— 新建 ACL 新建 3 条标准 IP访问控制列表 ID 分别为 100 、 101 、 102 分别对应研发部门、销售部门、财务部门 进入管理界面— 访问控制—ACL 配置— 标准 IP ACL 选择 ACL 100 规则 1 允许源 IP172.16.0.0掩码 255.255.255.0 访问 目的 IP172.16.0.0掩码 255.255.255.0 规则 2 允许 源 IP172.16.0.0掩码 255.255.255.0 访问 目地 IP 172.16.3.0掩码 255.255.255.0，点击 提交 规则 3 丢弃 源 IP 172.16.0.0掩码 255.255.255.0 目的 IP匹配所有，点击提交 选择 ACL 101 规则 4 丢弃 源 IP 172.16.1.0掩码 255.255.255.0 访问 目的 IP 172.16.0.0掩码 255.255.255.0 ，点 击提交 规则 5 丢弃 源 IP 172.16.1.0掩码 255.255.255.0 访问 目的 IP 172.16.2.0掩码 255.255.255.0，点击 提交 选择 ACL 102 规则 6 丢弃 源 IP 172.16.2.0掩码 255.255.255.0 访问 目的 IP 172.16.0.0掩码 255.255.255.0 ，点 击提交 规则 7 丢弃 源 IP 172.16.2.0掩码 255.255.255.0 访问 目的 IP 172.16.1.0掩码 255.255.255.0 ，点 击提交 进入管理界面— 访问控制—policy 配置— 新建 policy 新建 RD 、Sales、Financial三个 policy，分别对于研发、销售、财务部门 进入管理界面— 访问控制— policy配置— 配置 policy 分别将 RD 绑定 ACL100,Sales 绑定 ACL101,Financial 绑定 ACL102 进入管理界面— 访问控制— 绑定配置—VLAN 绑定 将 RD 、Sales、Financial三个 policy分别绑定到 VLAN2 VLAN3 VLAN4