■ 山東 任志強(qiáng)

編者按：當(dāng)前很多企業(yè)都有局域網(wǎng)，一般采用網(wǎng)關(guān)設(shè)在核心交換機(jī)上的星型拓?fù)浣Y(jié)構(gòu)。在一些大中型企業(yè)日常網(wǎng)絡(luò)管理中經(jīng)常會遇到有外部人員因業(yè)務(wù)需求需要入住企業(yè)并通過企業(yè)內(nèi)網(wǎng)（內(nèi)部局域網(wǎng)）接入互聯(lián)網(wǎng)。下面本文介紹一種通過企業(yè)局域網(wǎng)僅允許訪問互聯(lián)網(wǎng)的配置方式，以解決外部人員訪問的安全問題。

如果企業(yè)部署有相關(guān)的網(wǎng)絡(luò)安全管控設(shè)備，可以通過有關(guān)設(shè)備下發(fā)相關(guān)策略實現(xiàn)外部人員可以通過企業(yè)內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)而不能訪問企業(yè)內(nèi)部相關(guān)應(yīng)用服務(wù)。這里就介紹另外一種方式，通過企業(yè)核心交換機(jī)

（或者網(wǎng)關(guān)交換機(jī)）的ACL訪問控制列表實現(xiàn)相關(guān)功能，如此既可以為企業(yè)節(jié)約采購相關(guān)設(shè)備的費(fèi)用，又可以靈活部署。

在此具體介紹有關(guān)ACL訪問控制列表的配置方式。某企業(yè)采用的是星型網(wǎng)絡(luò)拓?fù)?，企業(yè)局域網(wǎng)各網(wǎng)段的網(wǎng)關(guān)均部署在核心交換機(jī)上。該企業(yè)每個網(wǎng)段的業(yè)務(wù)均是單一應(yīng)

N用方式，如總部辦公樓每層為一個網(wǎng)段，每一個二級公司為一個網(wǎng)段，業(yè)務(wù)服務(wù)應(yīng)用（企業(yè)內(nèi)網(wǎng)、ERP、OA等具體業(yè)務(wù)應(yīng)用服務(wù)器均在該網(wǎng)段）為一個網(wǎng)段。該企業(yè)的需求是在局域網(wǎng)中有個網(wǎng)段172.168.5.0/24（該企業(yè)使用了公網(wǎng)IP用做了私網(wǎng)）需為外部客戶分配一個IP地址172.168.5.59，要求接入該IP的電腦終端設(shè)備可以訪問互聯(lián)網(wǎng)但不允許訪問內(nèi)部網(wǎng)頁和有關(guān)應(yīng)用等。

那么實現(xiàn)該需求的主要配置步驟為：登陸企業(yè)核心（網(wǎng)關(guān)）交換機(jī)，登陸后的具體配置策略主要是如下：

首選創(chuàng)建Acl訪問控制列表，在交換機(jī)配置界面輸入Acl name fangke 通過該命令創(chuàng)建名為“fangke”的acl，回車進(jìn)入acl配置界面，輸入如圖1命令。

Acl控制列表各項策略的主要作用為：

r u l e 0允 許172.168.5.0/24網(wǎng)段訪問企業(yè)內(nèi)部DNS主機(jī)；

Rule5禁止主機(jī)IP地址172.168.5.59訪問企業(yè)內(nèi)部服務(wù)器網(wǎng)段；

圖1 創(chuàng)建acl訪問控制列表

圖2 創(chuàng)建流類

圖3 創(chuàng)建流行為

Rule 10允 許172.168.5.0/24網(wǎng)段訪問企業(yè)內(nèi)部服務(wù)器網(wǎng)段；

其次創(chuàng)建流類，輸入命令traffic classifier fangke創(chuàng) 建 名 為“fangke”classifier ，回車進(jìn)入traffic classifier fangke配置界面并輸入ifmatch acl fangke匹配名為“fangke”的Acl；如圖2所示。

接著創(chuàng)建流行為，輸入命令traffic behavior fangke創(chuàng)建名為“fangke”的behavior，回 車 進(jìn) 入traffic behavior fangke配置界面并輸入permit 命令（一般為默認(rèn)permit，可不輸）；如圖3所示。

然后創(chuàng)建流策略，輸入命令traffic policy fangke創(chuàng) 建 名 為“fangke” 的policy，回車進(jìn)入traffic policy fangke 配置界面并輸入classifier fangke behavior fangke；

最后將流策略下發(fā)到172.168.5.0/24網(wǎng)段所對應(yīng)的vlan 305，在vlan配置界面輸入vlan 305回車進(jìn)入vlan 305配置界面，輸入命令traffic-policy fangke inbound；

經(jīng)過上述幾個步驟配置命令已全部完成，可以通過實例測試應(yīng)用效果。