背景

公司不同部门拥有不同的网络权限，这就需要网络中的交换机通过设置ACL来实现了。

用户需求

某公司有3个部门研发部、销售部、财务部，另外还有一个服务器机房，及外网线路。该公司要求三个部门相互不能互访，销售部和财务部能够访问外网，研发部门不能访问外网，三个部门都能访问内网服务器。

拓扑结构

配置指南

步骤1：

对网络进行合理规划，划分VLAN，及配置VLAN ip

参考TL-SG5428应用——多网段网络规划配置指南

步骤2：

权限分析：

研发部门能够访问服务器，但是不能访问销售、财务和外网

需要3条ACL规则：

1、 研发部门允许访问自身

2、 研发部门允许访问服务器

3、 研发部门禁止访问其他

销售部门能够访问服务器和外网，但是不能访问研发和财务部门

需要2条ACL规则：

1、 销售部门禁止访问研发部门

2、 销售部门禁止访问财务部门

财务部门能够访问服务器和外网，但是不能访问研发和销售

需要2条规则：

1、 财务部门禁止访问研发部门

2、 财务部门禁止访问销售部门

步骤3：

根据权限分析进入交换机进行配置：

进入管理界面—>访问控制—>ACL配置—>新建ACL

新建3条标准IP访问控制列表 ID分别为100、 101、 102

分别对应研发部门、销售部门、财务部门

进入管理界面—>访问控制—>ACL配置—>标准IP ACL

选择ACL 100

规则 1 允许源 IP172.16.0.0 掩码 255.255.255.0 访问 目的IP172.16.0.0 掩码 255.255.255.0

规则 2 允许 源IP172.16.0.0 掩码255.255.255.0访问 目地 IP 172.16.3.0 掩码 255.255.255.0，点击提交

规则3 丢弃 源IP 172.16.0.0 掩码 255.255.255.0 目的IP匹配所有，点击提交

选择 ACL 101

规则4 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ，点击提交

规则5 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.2.0 掩码255.255.255.0，点击提交

选择 ACL 102

规则6 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ，点击提交

规则7 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.1.0 掩码 255.255.255.0 ，点击提交

进入管理界面—>访问控制—>policy配置—>新建policy

新建RD、Sales、Financial三个policy，分别对于研发、销售、财务部门

进入管理界面—>访问控制—> policy配置—>配置policy

分别将RD绑定 ACL100,Sales绑定ACL101,Financial绑定ACL102

进入管理界面—>访问控制—>绑定配置—>VLAN 绑定

将RD、Sales、Financial三个policy分别绑定到VLAN2 VLAN3 VLAN4

这样就可以实现对各个部门的权限控制了。