TL-SG5428 ACL配置：如何精确控制企业部门网络访问权限

公司网络的安全与效率至关重要，特别是在部门众多、需求各异的环境中。以下是一篇关于如何通过设置ACL（访问控制列表）来合理配置网络权限，确保各部门网络互不干扰，同时满足特定访问需求的文章。
为了实现这一目标，首先需要对网络进行规划和VLAN（虚拟局域网）的划分。VLAN的配置可以帮助我们将网络划分为不同的虚拟子网，每个子网对应不同的部门或服务，从而实现网络隔离。
以某公司为例，该公司拥有研发部、销售部、财务部、服务器机房及外网线路。根据公司要求，三个部门之间不能互访，销售部和财务部可以访问外网，而研发部则不能。同时，所有部门都可以访问内网服务器。
在配置过程中，我们首先需要对各部门的访问需求进行分析。以下是对各部门访问需求的具体分析：
1. 研发部：可以访问内网服务器，但不能访问销售部、财务部和外网。 2. 销售部：可以访问内网服务器和外网，但不能访问研发部和财务部。 3. 财务部：可以访问内网服务器和外网，但不能访问研发部和销售部。
基于以上分析，我们需要分别为各部门配置相应的ACL规则：
1. 研发部：允许访问自身IP段（172.16.0.0/24）和服务器IP段（172.16.3.0/24），禁止访问其他IP段。 2. 销售部：禁止访问研发部IP段（172.16.0.0/24）和财务部IP段（172.16.2.0/24），允许访问自身IP段（172.16.1.0/24）、服务器IP段（172.16.3.0/24）和外网。 3. 财务部：禁止访问研发部IP段（172.16.0.0/24）和销售部IP段（172.16.1.0/24），允许访问自身IP段（172.16.2.0/24）、服务器IP段（172.16.3.0/24）和外网。
在交换机上，我们需要创建三个标准IP ACL，分别对应研发部、销售部和财务部。接下来，我们根据各部门的ACL规则配置相应的规则，并创建相应的policy，将这些policy绑定到对应的VLAN。
通过以上步骤，我们可以实现对各部门网络权限的精确控制，确保网络的安全性和稳定性。此外，根据公司业务的不断发展，我们还可以根据实际需求调整ACL和vlan配置，以满足新的网络访问需求。

背景

公司不同部门拥有不同的网络权限，这就需要网络中的交换机通过设置ACL来实现了。

用户需求

某公司有3个部门研发部、销售部、财务部，另外还有一个服务器机房，及外网线路。该公司要求三个部门相互不能互访，销售部和财务部能够访问外网，研发部门不能访问外网，三个部门都能访问内网服务器。

拓扑结构

配置指南

步骤1：

对网络进行合理规划，划分VLAN，及配置VLAN ip

参考TL-SG5428应用——多网段网络规划配置指南

步骤2：

权限分析：

研发部门能够访问服务器，但是不能访问销售、财务和外网

需要3条ACL规则：

1、 研发部门允许访问自身

2、 研发部门允许访问服务器

3、 研发部门禁止访问其他

销售部门能够访问服务器和外网，但是不能访问研发和财务部门

需要2条ACL规则：

1、 销售部门禁止访问研发部门

2、 销售部门禁止访问财务部门

财务部门能够访问服务器和外网，但是不能访问研发和销售

需要2条规则：

1、 财务部门禁止访问研发部门

2、 财务部门禁止访问销售部门

步骤3：

根据权限分析进入交换机进行配置：

进入管理界面—>访问控制—>ACL配置—>新建ACL

新建3条标准IP访问控制列表 ID分别为100、 101、 102

分别对应研发部门、销售部门、财务部门

进入管理界面—>访问控制—>ACL配置—>标准IP ACL

选择ACL 100

规则 1 允许源 IP172.16.0.0 掩码 255.255.255.0 访问 目的IP172.16.0.0 掩码 255.255.255.0

规则 2 允许 源IP172.16.0.0 掩码255.255.255.0访问 目地 IP 172.16.3.0 掩码 255.255.255.0，点击提交

规则3 丢弃 源IP 172.16.0.0 掩码 255.255.255.0 目的IP匹配所有，点击提交

选择 ACL 101

规则4 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ，点击提交

规则5 丢弃 源 IP 172.16.1.0 掩码 255.255.255.0 访问 目的IP 172.16.2.0 掩码255.255.255.0，点击提交

选择 ACL 102

规则6 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.0.0 掩码 255.255.255.0 ，点击提交

规则7 丢弃 源 IP 172.16.2.0 掩码 255.255.255.0 访问 目的IP 172.16.1.0 掩码 255.255.255.0 ，点击提交

进入管理界面—>访问控制—>policy配置—>新建policy

新建RD、Sales、Financial三个policy，分别对于研发、销售、财务部门

进入管理界面—>访问控制—> policy配置—>配置policy

分别将RD绑定 ACL100,Sales绑定ACL101,Financial绑定ACL102

进入管理界面—>访问控制—>绑定配置—>VLAN 绑定

将RD、Sales、Financial三个policy分别绑定到VLAN2 VLAN3 VLAN4

这样就可以实现对各个部门的权限控制了。