前言企业网络搭建与运维中合理的网络架构分层与精细化的访问控制策略是保障网络安全、提升业务可用性的核心。本文结合实际网络拓扑场景从架构设计、需求分析、策略配置三个维度讲解企业内网与外网的访问控制实现及网络架构搭建要点学习目标1.学习ACL基本的操作初步了解访问控制列表的相关功能2.了解内外网的基本架构能够画出简单的拓扑图3.对实验出现的报错能够排查找出实验的不足点并加以修正实验拓扑实验步骤一、网络拓扑与架构设计分析本次企业网络拓扑采用三层架构设计分为核心层、汇聚层、接入层同时实现内网与外网的互联互通具体架构如下1.外网区域通过 AR2 路由器公网地址150.150.150.0/24连接外网外网用户网段为200.200.200.0/24部署外网 Web 服务器150.150.150.100/24提供公网服务。2.核心层以 AR1 路由器为核心节点作为内网与外网通信的枢纽负责数据的高速转发与路由策略部署。3.汇聚层通过 LSW2 交换机实现接入层设备的流量汇聚同时承载 VLAN 划分与访问控制策略的落地对接办公室、财务室、研发部等终端节点。4.接入层终端设备办公室 PC、财务室 PC、研发部 Web 服务器等通过 LSW2 交换机接入网络各部门划分独立 VLAN办公室VLAN10192.168.10.0/24财务室VLAN20192.168.20.0/24研发部VLAN30192.168.30.0/24部署研发部 Web 服务器192.168.30.100/24汇聚交换机配置sysname SW2 vlan batch 10 20 30 # 上行聚合口到核心交换机 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan all trunkport Ethernet 0/0/1 trunkport Ethernet 0/0/7 # 办公室 VLAN10 interface Ethernet0/0/2 port link-type access port default vlan 10 interface Ethernet0/0/5 port link-type access port default vlan 10 # 财务室 VLAN20 interface Ethernet0/0/3 port link-type access port default vlan 20 # 研发部 VLAN30 interface Ethernet0/0/4 port link-type access port default vlan 30 interface Ethernet0/0/6 port link-type access port default vlan 30核心交换机配置sysname SW1 dhcp enable vlan batch 10 20 30 100 # 各VLAN网关 DHCP interface Vlanif10 ip address 192.168.10.1 255.255.255.0 dhcp select interface interface Vlanif20 ip address 192.168.20.1 255.255.255.0 dhcp select interface interface Vlanif30 ip address 192.168.30.1 255.255.255.0 dhcp select interface interface Vlanif100 ip address 192.168.100.1 255.255.255.0 # 下行到汇聚交换机 Eth-Trunk1 interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan all trunkport GigabitEthernet 0/0/2 trunkport GigabitEthernet 0/0/3 # 上行到路由器 AR1 Eth-Trunk2 interface Eth-Trunk2 port link-type access port default vlan 100 trunkport GigabitEthernet 0/0/1 trunkport GigabitEthernet 0/0/4 # 默认路由到 AR1 ip route-static 0.0.0.0 0.0.0.0 192.168.100.2核心路由器AR1配置sysname AR1 # 外网口 interface GigabitEthernet 0/0/1 ip address 100.100.100.1 255.255.255.0 # 三层聚合口到核心交换机 interface Eth-Trunk1 undo portswitch ip address 192.168.100.2 255.255.255.0 trunkport GigabitEthernet 0/0/0 trunkport GigabitEthernet 0/0/2 # 回程路由到内网 ip route-static 192.168.10.0 255.255.255.0 192.168.100.1 ip route-static 192.168.20.0 255.255.255.0 192.168.100.1 ip route-static 192.168.30.0 255.255.255.0 192.168.100.1 # 默认路由到 AR2 ip route-static 0.0.0.0 0.0.0.0 100.100.100.2 # NAT 允许内网上网 acl number 2000 rule permit source 192.168.0.0 0.0.255.255 interface GigabitEthernet 0/0/1 nat outbound 2000 nat server protocol tcp global current-interface 80 inside 192.168.30.100 80外网路由器AR2配置sysname AR2 # 连接 AR1 的接口 interface GigabitEthernet 0/0/0 ip address 100.100.100.2 255.255.255.0 # 模拟公网/外网客户端接口 interface GigabitEthernet 0/0/2 ip address 200.200.200.1 255.255.255.0 #配置外网web的接口 interface GigabitEthernet 0/0/1 ip address 150.150.150.1 255.255.255. # 回程路由到内网必须配否则外网无法访问内网服务器 ip route-static 192.168.10.0 255.255.255.0 100.100.100.1 ip route-static 192.168.20.0 255.255.255.0 100.100.100.1 ip route-static 192.168.30.0 255.255.255.0 100.100.100.1现在我们来看配置通了没可以看到基本网络是打通了的办公室的pc是能够访问到外网的其它的我就不放出来了配置正确的话各个部门间是能够通的再来看看我们的研发部web有没有映射出去可以看到我们的研发部已经映射出去了三层架构的设计实现了流量分层转发核心层保障数据传输效率汇聚层实现策略管控接入层满足终端接入需求同时 VLAN 划分隔离了部门间的广播域提升了网络安全性与稳定性二、业务访问需求与控制目标结合企业实际业务场景需实现以下精细化访问控制需求财务室禁止访问外网 Web 服务器150.150.150.100/24但可正常访问外网其他资源财务室仅允许访问研发部 和Web 服务器限制其他非必要内网访问办公室禁止访问研发部网段192.168.30.0/24和财务室避免公司研发核心资源等被随意访问办公室可正常访问互联网保障日常办公需求外网用户可通过路由器端口映射正常访问研发部 Web 服务器实现公网业务发布三、访问控制策略实现思路基于上述需求主要通过 *ACL访问控制列表与端口映射NAT** 技术实现策略落地核心配置思路如下需求场景部署节点ACL 类型财务室禁访问外网 web 服务器汇聚交换机 LSW2二层高级ACL 3001财务室仅能访问研发部 web汇聚交换机 LSW2二层高级 ACL 3001办公室禁访问研发部除研发 web和财务室汇聚交换机 LSW2二层高级ACL 3000ACL配置 # 办公室端口入方向禁止访问研发部除研发web和财务室可以访问外网 acl number 3000 rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 20 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.100 0.0.0.0 rule 30 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 40 permit ip source 192.168.10.0 0.0.0.255 destination any interface Ethernet0/0/2 traffic-filter inbound acl 3000 interface Ethernet0/0/5 traffic-filter inbound acl 3000 # 财务室端口入方向仅允许访问研发部研发web其他外网客户端禁止办公室与外网 acl number 3001 rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 150.150.150.100 0.0.0.0 rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.0 rule 20 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.0 rule 30 permit ip source 192.168.20.0 0.0.0.255 destination any interface Ethernet0/0/3 traffic-filter inbound acl 3001ACL配置结果办公室财务室四、网络优化与扩展建议1.链路带宽优化在核心层与汇聚层交换机之间配置链路聚合提升链路带宽与冗余性避免单点链路故障影响业务2.安全策略强化除 ACL 外可部署防火墙实现深度包检测同时开启端口安全限制接入层端口的终端接入数量防止非法设备接入3.运维管理优化部署网络管理系统实时监控各设备的流量与状态同时配置日志审计记录访问控制策略的执行情况便于故障排查与安全审计。企业网络的搭建与访问控制需结合业务需求与安全规范三层架构的分层设计为网络扩展奠定基础而 ACL 与 NAT 技术的灵活运用能实现精细化的流量管控保障企业网络的安全与高效运行五、实验排错过程分析与注意要点整体来说呢这个实验不是很复杂当时第一次上手时还是出了很多差错的用了挺久才把这个实验完成具体的注意点我总结了几个地方1.配置链路聚合的时候一定要看清不要把端口写错2.路由器R1,R2上面一定要配置回程路由要不然流量出了内网不知道该往哪发最后肯定通不了我个人是在核心交换机上配的DHCP服务然后pc的话直接自动获取了问了AI有建议在汇聚交换机上配置的但是我这个实验规模较小也没那个必要在实验室环境要求每那么严格具体在企业中还是标准化操作3.实验报错的话就一个一个的ping看是在哪个地方ping不通一步一步找蛛丝马迹最后肯定能通配置ACL规则的时候Rule的先后顺序一定不要搞乱要不然没法达到实验预期这个点我错了好久最后搞通了我配的ACL就只是按照实验要求来的如果有更深的要求比如流分类流行为流策略具体到限制什么报文都可以深入折腾我在华为的官方文档里有一些了解4.官方文档里面的说明很好我个人觉得这里面的还是比较权威的建议多翻阅##################文章内容部分来源于网络如有侵权联系作者#######################