背景

公司不同部門擁有不同的網絡權限，這就需要網絡中的交換機通過設置ACL來實現了。

用戶需求

某公司有3個部門研發部、銷售部、財務部，另外還有一個服務器機房，及外網線路。該公司要求三個部門相互不能互訪，銷售部和財務部能夠訪問外網，研發部門不能訪問外網，三個部門都能訪問內網服務器。

拓撲結構

配置指南

步驟1：

對網絡進行合理規劃，劃分VLAN，及配置VLAN ip

參考TL-SG5428應用——多網段網絡規劃配置指南

步驟2：

權限分析：

研發部門能夠訪問服務器，但是不能訪問銷售、財務和外網

需要3條ACL規則：

1、 研發部門允許訪問自身

2、 研發部門允許訪問服務器

3、 研發部門禁止訪問其他

銷售部門能夠訪問服務器和外網，但是不能訪問研發和財務部門

需要2條ACL規則：

1、 銷售部門禁止訪問研發部門

2、 銷售部門禁止訪問財務部門

財務部門能夠訪問服務器和外網，但是不能訪問研發和銷售

需要2條規則：

1、 財務部門禁止訪問研發部門

2、 財務部門禁止訪問銷售部門

步驟3：

根據權限分析進入交換機進行配置：

進入管理界面—>訪問控制—>ACL配置—>新建ACL

新建3條標準IP訪問控制列表 ID分別為100、 101、 102

分別對應研發部門、銷售部門、財務部門

進入管理界面—>訪問控制—>ACL配置—>標準IP ACL

選擇ACL 100

規則 1 允許源 IP172.16.0.0 掩碼 255.255.255.0 訪問 目的IP172.16.0.0 掩碼 255.255.255.0

規則 2 允許 源IP172.16.0.0 掩碼255.255.255.0訪問 目地 IP 172.16.3.0 掩碼 255.255.255.0，點擊提交

規則3 丟棄 源IP 172.16.0.0 掩碼 255.255.255.0 目的IP匹配所有，點擊提交

選擇 ACL 101

規則4 丟棄 源 IP 172.16.1.0 掩碼 255.255.255.0 訪問 目的IP 172.16.0.0 掩碼 255.255.255.0 ，點擊提交

規則5 丟棄 源 IP 172.16.1.0 掩碼 255.255.255.0 訪問 目的IP 172.16.2.0 掩碼255.255.255.0，點擊提交

選擇 ACL 102

規則6 丟棄 源 IP 172.16.2.0 掩碼 255.255.255.0 訪問 目的IP 172.16.0.0 掩碼 255.255.255.0 ，點擊提交

規則7 丟棄 源 IP 172.16.2.0 掩碼 255.255.255.0 訪問 目的IP 172.16.1.0 掩碼 255.255.255.0 ，點擊提交

進入管理界面—>訪問控制—>policy配置—>新建policy

新建RD、Sales、Financial三個policy，分別對于研發、銷售、財務部門

進入管理界面—>訪問控制—> policy配置—>配置policy

分別將RD綁定 ACL100,Sales綁定ACL101,Financial綁定ACL102

進入管理界面—>訪問控制—>綁定配置—>VLAN 綁定

將RD、Sales、Financial三個policy分別綁定到VLAN2 VLAN3 VLAN4

這樣就可以實現對各個部門的權限控制了。