公司某部門(mén)辦公場(chǎng)所遷移時(shí)提出了一個(gè)新需求：該部門(mén)要自己組成一個(gè)小范圍內(nèi)的局域網(wǎng)，內(nèi)部資源共享，對(duì)外進(jìn)行隔離，即使同樣C類(lèi)網(wǎng)段同樣VLAN下的其他部門(mén)電腦，也不能訪問(wèn)。

由于各種布線，VLAN設(shè)置等歷史原因，決定采用ACL訪問(wèn)控制列表的方式，將該部門(mén)獨(dú)立出虛擬的局域網(wǎng)絡(luò)，并與其外部進(jìn)行隔離。

公司內(nèi)網(wǎng)段設(shè)置為10.66.66.0，其中網(wǎng)關(guān)設(shè)置為10.66.66.1。此部門(mén)的機(jī)器IP比較分散。其他部門(mén)的IP也分散穿插在其中。部門(mén)搬遷后從網(wǎng)關(guān)交換機(jī)的47口出去，引到其辦公室，然后經(jīng)過(guò)辦公室內(nèi)的幾臺(tái)交換機(jī)到每個(gè)坐席的位置上。

網(wǎng)關(guān)交換機(jī)是華三的，經(jīng)過(guò)查詢文檔，以及跟華三工程師的交流，最終通過(guò)配置交換機(jī)的ACL訪問(wèn)控制列表，隔離出一個(gè)虛擬的小局域網(wǎng)。

華三交換機(jī)的ACL配置命令

通過(guò)telnet連接到該交換機(jī)。

先進(jìn)入超級(jí)管理員模式，鍵入su，然后鍵入密碼。

進(jìn)入配制模式，鍵入sys。

配置一個(gè)允許訪問(wèn)列表，為的是允許局域網(wǎng)里的機(jī)器訪問(wèn)外面的網(wǎng)絡(luò)。需要配合端口控制命令使用。

rule permit ip source any destination 10.66.66.1 0//允許任何IP訪問(wèn)IP 10.6 6.66.1，0 代表是具體設(shè)備的IP地址。

rule permit ip source any destination 9.0.0.0 0.255.255.255允許任何IP訪問(wèn)A類(lèi)地址段9.0.0.0，0.255.255.255//是該地址的反碼。

配置一個(gè)允許被訪問(wèn)的列表，為的是允許局域網(wǎng)內(nèi)的機(jī)器可以接受到外網(wǎng)的數(shù)據(jù)信息。這個(gè)要配合端口控制命令使用。

rule permit ip soucre 10.66.66.1 0 destination any//允許IP 10.66.66.1訪問(wèn)所有IP。

rule permit ip source 9.0.0.0 0.255.255.255 dest ination any//允 許A類(lèi)地址段9.0.0.0，反碼0.255.255.255訪問(wèn)所有目標(biāo)IP

配合上面的兩個(gè)ACL表進(jìn)行使用。

rule permit ip source any desitnation any

定義，添加相關(guān)ACL表使用的邏輯，其中hjzx,hjzx_out,hjzx_deny為定義的類(lèi)名。

定義策略

47口下局域網(wǎng)設(shè)備訪問(wèn)該端口的策略應(yīng)用

保存配置

鍵入quit退出配置模式。鍵入write file，命令行提示是否保存，選擇y即可。

至此局域網(wǎng)與正式隔離完畢。