acl能做端口级的访问控制吗(如何配置禁止某一网段上外网)
在工作中,可以能有这样的需求,有些部门需要访问互联网,一些不让访问互联网,但是在局域网内部,不同部门可能有业务的来往,所以需要互通。一般情况下,会使用访问控制列表来实现这个需求。
如下图的拓扑
上图的R1为出口路由,通过连接到运营商自动获取IP上网。内部局域网通过NAT方式上网。按照上图的需求,直接把VLAN30的网段做nat就能实现上网,VLAN20和30不做NAT就实现不能上互联网的需求了。
配置思路1、把不同部门的加入到相对应的VLAN中
2、为每个VLAN配置VLANIF的IP地址,作为此网段的网关地址
3、在SW1和SW2的级联口配置,运行VLAN10到VLAN30通过。
4、SW1和R1配置互联IP
5、在SW1上配置默认路由,把去往互联网的数据包交给R1处理。
6、R1上指定数据包回来的路由。
7、匹配要做NAT的网段
8、在R1的GE0接口上应用NAT。
关键配置在SW2中,把财务部、开发部和访客分别加入到vlan10、vlan20和30中。
SW2
在SW1上为vlan10、vlan20和vlan30配置 ,VLANIF的IP地址
SW1
把SW1和SW2的GE23端口配置trunk模式,并允许vlan10到30通过。
配置R1和SW1的互联IP地址
R1
在R1和SW1配置路由信息.
在SW上执行如下命令,意思是把去往互联网的数据包交给路由器处理。192.168.100.2是路由器R1的GE02接口IP.
ip route-static 0.0.0.0 0.0.0.0 192.168.100.2
同时,还需要在路由器R1上指定回来的路由走向,如果在路由器不配置回来的路由,会造成有去无回的现象
在路由器R1上执行如下命令,意思是以192.168.开头的数据包交给SW1处理。192.168.100.1为SW1的接口IP
ip route-static 192.168.0.0 255.255.0.0 192.168.100.1
到此局域内部是可以相互访问的,但是去往互联网还是不通的,原因由于私有IP不能再公网路由,所有,我们需要把私网地址转换成公网IP。这时会用到NAT技术。
配置NAT根据需求,只需要访客VALN30的网段需要上网,因此,采用访问控制列表。把VALN30的网段匹配到。
acl number 2000
rule 5 permit source 192.168.30.0 0.0.0.255
定义公网地址池
nat address-group 1 192.168.224.135 192.168.224.135
在R1的GE0接口应用NAT
interface GigabitEthernet0/0/0
nat outbound 2000 address-group 1
ip address dhcp-alloc
到此上述的功能已经完成了。好了,我们看看效果吧
PC3
PC1
通过上图可以看到访客可以正常访问互联网和内网的其他部门。开发部和财务部均不能访问互联网。
我们还可以通过在R1上执行display nat session all,查看nat转换的情况,如下图。
可以看到内部IP地址192.168.30.10被转换成192.168.224.135这个地址。
想获取此拓扑和详细的配置文件,请关注并转发,私信回复“ACL”获取。感谢大家的一路支持。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com