■ 山東 任志強
編者按:當前很多企業都有局域網,一般采用網關設在核心交換機上的星型拓撲結構。在一些大中型企業日常網絡管理中經常會遇到有外部人員因業務需求需要入住企業并通過企業內網(內部局域網)接入互聯網。下面本文介紹一種通過企業局域網僅允許訪問互聯網的配置方式,以解決外部人員訪問的安全問題。
如果企業部署有相關的網絡安全管控設備,可以通過有關設備下發相關策略實現外部人員可以通過企業內網訪問互聯網而不能訪問企業內部相關應用服務。這里就介紹另外一種方式,通過企業核心交換機
(或者網關交換機)的ACL訪問控制列表實現相關功能,如此既可以為企業節約采購相關設備的費用,又可以靈活部署。
在此具體介紹有關ACL訪問控制列表的配置方式。某企業采用的是星型網絡拓撲,企業局域網各網段的網關均部署在核心交換機上。該企業每個網段的業務均是單一應
N用方式,如總部辦公樓每層為一個網段,每一個二級公司為一個網段,業務服務應用(企業內網、ERP、OA等具體業務應用服務器均在該網段)為一個網段。該企業的需求是在局域網中有個網段172.168.5.0/24(該企業使用了公網IP用做了私網)需為外部客戶分配一個IP地址172.168.5.59,要求接入該IP的電腦終端設備可以訪問互聯網但不允許訪問內部網頁和有關應用等。
那么實現該需求的主要配置步驟為:登陸企業核心(網關)交換機,登陸后的具體配置策略主要是如下:
首選創建Acl訪問控制列表,在交換機配置界面輸入Acl name fangke 通過該命令創建名為“fangke”的acl,回車進入acl配置界面,輸入如圖1命令。
Acl控制列表各項策略的主要作用為:
r u l e 0允 許172.168.5.0/24網段訪問企業內部DNS主機;
Rule5禁止主機IP地址172.168.5.59訪問企業內部服務器網段;
圖1 創建acl訪問控制列表
圖2 創建流類
圖3 創建流行為
Rule 10允 許172.168.5.0/24網段訪問企業內部服務器網段;
其次創建流類,輸入命令traffic classifier fangke創 建 名 為“fangke”classifier ,回車進入traffic classifier fangke配置界面并輸入ifmatch acl fangke匹配名為“fangke”的Acl;如圖2所示。
接著創建流行為,輸入命令traffic behavior fangke創建名為“fangke”的behavior,回 車 進 入traffic behavior fangke配置界面并輸入permit 命令(一般為默認permit,可不輸);如圖3所示。
然后創建流策略,輸入命令traffic policy fangke創 建 名 為“fangke” 的policy,回車進入traffic policy fangke 配置界面并輸入classifier fangke behavior fangke;
最后將流策略下發到172.168.5.0/24網段所對應的vlan 305,在vlan配置界面輸入vlan 305回車進入vlan 305配置界面,輸入命令traffic-policy fangke inbound;
經過上述幾個步驟配置命令已全部完成,可以通過實例測試應用效果。