TL-SG5428应用——ACL控制不同部门的网络权限

背景

公司不同部门拥有不同的网络权限,这就需要网络中的交换机通过设置ACL来实现了。


用户需求

某公司有3个部门研发部、销售部、财务部,另外还有一个服务器机房,及外网线路。该公司要求三个部门相互不能互访,销售部和财务部能够访问外网,研发部门不能访问外网,三个部门都能访问内网服务器。


拓扑结构

配置指南

步骤1

对网络进行合理规划,划分VLAN,及配置VLAN ip

参考TL-SG5428应用——多网段网络规划配置指南

步骤2

权限分析:

研发部门能够访问服务器,但是不能访问销售、财务和外网

需要3条ACL规则:

1、 研发部门允许访问自身

2、 研发部门允许访问服务器

3、 研发部门禁止访问其他

销售部门能够访问服务器和外网,但是不能访问研发和财务部门

需要2条ACL规则:

1、 销售部门禁止访问研发部门

2、 销售部门禁止访问财务部门

财务部门能够访问服务器和外网,但是不能访问研发和销售

需要2条规则:

1、 财务部门禁止访问研发部门

2、 财务部门禁止访问销售部门

步骤3

根据权限分析进入交换机进行配置:

进入管理界面—>访问控制—>ACL配置—>新建ACL

新建3条标准IP访问控制列表 ID分别为100、 101、 102

分别对应研发部门、销售部门、财务部门

进入管理界面—>访问控制—>ACL配置—>标准IP ACL

选择ACL 100

规则 1 允许源 IP172.16.0.0 掩码 255.255.255.0 访问 目的IP172.16.0.0 掩码 255.255.255.0

规则 2 允许 源IP172.16.0.0 掩码255.255.255.0访问 目地 IP 172.16.3.0 掩码 255.255.255.0,点击提交

规则3 丢弃 源IP 172.16.0.0 掩码 255.255.255.0 目的IP匹配所有,点击提交

选择 ACL 101

规则4 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ,点击提交

规则5 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.2.0 掩码255.255.255.0,点击提交

选择 ACL 102

规则6 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ,点击提交

规则7 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.1.0 掩码 255.255.255.0 ,点击提交

进入管理界面—>访问控制—>policy配置—>新建policy

新建RD、Sales、Financial三个policy,分别对于研发、销售、财务部门

进入管理界面—>访问控制—> policy配置—>配置policy

分别将RD绑定 ACL100,Sales绑定ACL101,Financial绑定ACL102

进入管理界面—>访问控制—>绑定配置—>VLAN 绑定

将RD、Sales、Financial三个policy分别绑定到VLAN2 VLAN3 VLAN4

这样就可以实现对各个部门的权限控制了。