若何制止公司内网主机拜候外网？

[db:作者]

有朋友屡次问到，若何让企业的某个部分只能拜候内网，不能拜候外网，这个在企业现实利用中很是普遍，为了保密，会使企业的部分收集制止与内部通讯他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
这里面我们就需要用到ACL了，首先我们来领会下ACL，ACL即拜候控制列表，那末它有什么感化呢？
ACL的感化1、ACL可以限制收集流量、进步收集性能他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。例如，ACL可以按照数据包的协议，指定数据包的优先级他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2、ACL供给对通讯流量的控制手段他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。例如，ACL可以限制或简化路由更新信息的长度，从而限制经过路由器某一网段的通讯流量他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
3、ACL是供给收集平安拜候的根基手段他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。ACL答应主机A拜候人力资本收集，而拒绝主机B拜候他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
4、ACL可以在路由器端口处决议哪类范例的通讯流量被转发或被阻塞他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。例如，用户可以答应E-mail通讯流量被路由，拒绝一切的Telnet通讯流量他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
例如：
某部分要求只能利用 WWW 这个功用，便可以经过ACL实现；
又例如，
为了某部分的保密性，不答应其拜候外网，也不答应外网拜候它，便可以经过ACL实现他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
那末我们来看下实例，若何实现利用 ACL 限制内网主机拜候外网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
1、案例
某公司经过交换机实现各部分之间的互连他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。现要求Switch可以制止研发部和市场部的部分主机拜候外网，避免公司机密泄露他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。以华为例他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
1、拓扑图

2、设置思绪
采用以下的思绪在Switch上停止设置：
1、设置根基ACL和基于ACL的流分类，使装备可以对研发部与市场部的指定主机的 报文停止过滤他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2、设置风行为，拒绝婚配上ACL的报文经过他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
3. 设置并利用流战略，使ACL微风行为生效他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
步调1 设置接口所属的VLAN以及接口的IP地址
# 建立VLAN10和VLAN20他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 设置Switch的接口GE0/0/1、GE0/0/2为trunk范例接口，并别离加入VLAN10和 VLAN20；设置Switch的接口GE0/0/3为trunk范例接口，加入VLAN10和VLAN20他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 建立VLANIF10和VLANIF20，并设置各VLANIF接口的IP地址他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
这里面提高下vlanif接口和vlan端口的区分：
（1）vlan端口：是物理端口，凡是我们经过设置access vlan 10 使某个物理接口属于vlan 10
（2）vlan if ：interface vlan 是逻辑端口，凡是这个接口地址作为vlan下面用户的网关他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
步调2 设置ACL
# 建立根基ACL 2001并设置ACL法则，拒绝源IP地址为10.1.1.11和10.1.2.12的主机的报 文经过他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //制止IP地址为10.1.1.11的主机拜候外网
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //制止IP地址为10.1.2.12的主机拜候外网
[Switch-acl-basic-2001] quit
步调3 设置基于根基ACL的流分类
#设置基于根基ACL的流分类 # 设置流分类tc1，对婚配ACL 2001的报文停止分类他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[Switch] traffic classifier tc1 //建立流分类
[Switch-classifier-tc1] if-match acl 2001 //将ACL与流分类关联
[Switch-classifier-tc1] quit
步调4 设置风行为
# 设置风行为tb1，行动为拒绝报文经过他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[Switch] traffic behavior tb1 //建立风行为
[Switch-behavior-tb1] deny //设置风行为行动为拒绝报文经过 [Switch-behavior-tb1] quit
步调5 设置流战略
# 界说流战略，将流分类与风行为关联他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[Switch] traffic policy tp1 //建立流战略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与风行为tb1关联
[Switch-trafficpolicy-tp1] quit
步调6 在接口下利用流战略
# 由于内网主机拜候外网的流量均从接口GE0/0/3出口流向Internet，所以可以在接口 GE0/0/3的出偏向利用流战略他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流战略利用在接口出偏向
[Switch-GigabitEthernet0/0/3] quit
3、验收设置成果
# 检察ACL法则的设置信息

# 检察流分类的设置信息他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。

# 检察流战略的设置信息他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。

IP地址为10.1.1.11和10.1.2.12的主机没法拜候外网，其他主机都可以拜候外网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。