内网如何访问外网(公司的网不能上外网怎么设置)
如何让企业的某个部分只能访问内网,不能访问外网,为了保密,会使企业的部分网络禁止与外部通信。
这里面我们就需要用到ACL了,首先我们来了解下ACL,ACL即访问控制列表,那么它有什么作用呢?
ACL的作用
1、ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
2、ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
3、ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:
某部门要求只能使用 WWW 这个功能,就可以通过ACL实现;
又例如,
为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
那么我们来看下实例,如何实现使用 ACL 限制内网主机访问外网。
1、案例
某公司通过交换机实现各部门之间的互连。现要求Switch能够禁止研发部和市场部的部分主机访问外网,防止公司机密泄露。以华为例。
1、拓扑图
2、配置思路
采用如下的思路在Switch上进行配置:
1、配置基本ACL和基于ACL的流分类,使设备可以对研发部与市场部的指定主机的 报文进行过滤。
2、配置流行为,拒绝匹配上ACL的报文通过。
3. 配置并应用流策略,使ACL和流行为生效。
步骤1 配置接口所属的VLAN以及接口的IP地址
# 创建VLAN10和VLAN20。
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE0/0/1、GE0/0/2为trunk类型接口,并分别加入VLAN10和 VLAN20;配置Switch的接口GE0/0/3为trunk类型接口,加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
这里面普及下vlanif接口和vlan端口的区别:
(1)vlan端口:是物理端口,通常我们通过配置access vlan 10 使某个物理接口属于vlan 10
(2)vlan if :interface vlan 是逻辑端口,通常这个接口地址作为vlan下面用户的网关。
步骤2 配置ACL
# 创建基本ACL 2001并配置ACL规则,拒绝源IP地址为10.1.1.11和10.1.2.12的主机的报 文通过。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //禁止IP地址为10.1.1.11的主机访问外网
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //禁止IP地址为10.1.2.12的主机访问外网
[Switch-acl-basic-2001] quit
步骤3 配置基于基本ACL的流分类
#配置基于基本ACL的流分类 # 配置流分类tc1,对匹配ACL 2001的报文进行分类。
[Switch] traffic classifier tc1 //创建流分类
[Switch-classifier-tc1] if-match acl 2001 //将ACL与流分类关联
[Switch-classifier-tc1] quit
步骤4 配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[Switch] traffic behavior tb1 //创建流行为
[Switch-behavior-tb1] deny //配置流行为动作为拒绝报文通过 [Switch-behavior-tb1] quit
步骤5 配置流策略
# 定义流策略,将流分类与流行为关联。
[Switch] traffic policy tp1 //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit
步骤6 在接口下应用流策略
# 由于内网主机访问外网的流量均从接口GE0/0/3出口流向Internet,所以可以在接口 GE0/0/3的出方向应用流策略。
[Switch] interface gigabitethernet 0/0/3
[
Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流策略应用在接口出方向
[Switch-GigabitEthernet0/0/3] quit
3、验收配置结果
# 查看ACL规则的配置信息
# 查看流分类的配置信息。
# 查看流策略的配置信息。
IP地址为10.1.1.11和10.1.2.12的主机无法访问外网,其他主机均可以访问外网。
相关推荐
-
如何让外网访问内网服务器(如何禁止外网对内网的访问)
对于企业网络,经常会用到访问控制,例如限制员工的上网时间?或如何控制各部门之间的网络互通等等,在实际企业网络项目中经常会遇到,这里面我们就可以用到ACL访问列表控制了,本期我们一起来看下,如何利用AC ...
-
外网如何访问内网ftp
内网FTP应用,在同一个局域网环境下可以正常访问连接使用,在外网如何访问使用? 常见示例场景有,如公司内部使用FTP资源,在家时如何访问使用.又或自己家庭内网网络服务器搭建的FTP应用,如何发布映射到 ...
-
外网如何访问内网网站?
内网网站,指的是在小范围的网络内部部署的网站应用.在没有固定公网IP时,内网网站是只能局限在局域网内网访问的. 在内网的网站,如何在外网访问?不少人首先会考虑路由器端口映射.可是如果没有固定公网IP, ...
-
外网如何访问内网服务器
现如今越来越多的人通过花生壳.nat123.金万维等开始建立起自己的个人网站.那么其中最重要的一个问题就是外网怎样访问内网服务器.下面就以nat123为例来分析解决这个问题. 操作方法 01 内网登录 ...
-
外网怎样访问内网服务器
在内网部署了WEB网站,但没有公网IP,外网怎样访问内网网站?使用nat123,内网配置端口映射,实现外网访问内网网站. 详细实现示例如下过程: 操作方法 01 确定网站内网地址:在内网访问网站正常. ...
-
外网怎样访问内网FTP
FTP服务器部署在内网环境,局域网内可以访问FTP服务,内网也可以上外网,但没有公网IP.如何实现外网访问内网FTP服务? 操作方法 01 确保内网应用正常,明确内网FTP服务访问地址,并确保FTP服 ...
-
远程控制电脑内网windows和linux外网连接访问
不管电脑是windows还是linux都可以通过nat123等类似内外网通信网络辅助实现外网远程控制访问. 远程控制内网windows电脑 01 开通远程桌面,确保内网可以正常远程. 02 在被远程目 ...
-
外网如何访问内网ip
操作方法 01 内网IP只能在内网局域网访问连接,在外网是不能认识内网IP不能访问的.如有路由权限,且路由有固定公网IP,可以通过路由的端口映射,实现外网访问内网.如无路由,或路由无公网IP,需要借助 ...
-
外网怎样访问内网数据库
一不小心发现一个不错且比较受欢迎的开放的解析映射应用--nat123.使用它,可以在任何网络下可上网即可搭建自己的服务器,并提供外网服务.如解决网站80问题,或发布网站到外网,或外网访问内网应用.除了 ...
