在企业网络中,为了保证企业数据的安全和一些接入控制权限,交换机访问控制功能在实际的业务部署中是不可缺少的,访问控制可以实现L2-L4的安全控制策略,精准控制每个数据流的准入。
如何设置访问控制权限?
在交换机中主要通过ACL来控制访问权限。由于交换机默认规则是转发所有数据,ACL控制是逐条匹配的,通过访问控制可以根据需求限制什么可以访问,什么不可以访问,交换机支持MAC ACL ,标准IP ACL ,扩展IP ACL,控制非常灵活多变。
设置方法:
总体来说设置方法分为两大步骤:
1、创建ACL ID并根据规则ID由小到大进行逻辑匹配;
2、将创建的ACL ID绑定对应数据的VLAN入口或者端口入口方向;
下面就以某个IP段(192.168.20.0/24)允许访问一个IP段(192.168.253.0/24),禁止访问其它IP的情况举例:
首先需要新建一个ACL ID,标准IP ACL的ID号范围是500-1499,本例使用520。在“访问控制->ACL配置->新建ACL”中,输入520,点击创建即可。
再根据需求创建ACL规则。在“访问控制->ACL配置->标准IP ACL”中,下拉选择创建的ACL 520,输入规则ID 21,安全操作选择允许,源IP为研发部IP,目的IP为服务器IP。如下图所示,完成后点击提交。
禁止访问其余网络的规则如下所示:
完成后ACL 520列表如下图所示:
最后绑定至相应VLAN中。在“访问控制->ACL绑定配置->VLAN绑定”中,下拉选择ACL 520,输入VLAN ID号20,点击添加。如下图所示:
至此即可完成对192.168.20.0/24段IP的访问控制,达到数据精准控制的需求。
发表回复