如何禁止公司內網主機訪問外網？

有朋友多次問到，如何讓企業的某個部分只能訪問內網，不能訪問外網，這個在企業實際應用中非常廣泛，為了保密，會使企業的部分網絡禁止與外部通信。

這里面我們就需要用到ACL了，首先我們來了解下ACL，ACL即訪問控制列表，那么它有什么作用呢？

ACL的作用

1、ACL可以限制網絡流量、提高網絡性能。例如，ACL可以根據數據包的協議，指定數據包的優先級。

2、ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。

3、ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡，而拒絕主機B訪問。

4、ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

例如：

某部門要求只能使用 WWW 這個功能，就可以通過ACL實現；

又例如，

為了某部門的保密性，不允許其訪問外網，也不允許外網訪問它，就可以通過ACL實現。

那么我們來看下實例，如何實現使用 ACL 限制內網主機訪問外網。

1、案例

某公司通過交換機實現各部門之間的互連?，F要求Switch能夠禁止研發部和市場部的部分主機訪問外網，防止公司機密泄露。以華為例。

1、拓撲圖

2、配置思路

采用如下的思路在Switch上進行配置：

1、配置基本ACL和基于ACL的流分類，使設備可以對研發部與市場部的指定主機的 報文進行過濾。

2、配置流行為，拒絕匹配上ACL的報文通過。

3. 配置并應用流策略，使ACL和流行為生效。

步驟1 配置接口所屬的VLAN以及接口的IP地址

# 創建VLAN10和VLAN20。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10 20

# 配置Switch的接口GE0/0/1、GE0/0/2為trunk類型接口，并分別加入VLAN10和 VLAN20；配置Switch的接口GE0/0/3為trunk類型接口，加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type trunk

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type trunk

[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type trunk

[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20

[Switch-GigabitEthernet0/0/3] quit

# 創建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.1.1.1 24

[Switch-Vlanif10] quit

[Switch] interface vlanif 20

[Switch-Vlanif20] ip address 10.1.2.1 24

[Switch-Vlanif20] quit

這里面普及下vlanif接口和vlan端口的區別：

（1）vlan端口：是物理端口，通常我們通過配置access vlan 10 使某個物理接口屬于vlan 10

（2）vlan if ：interface vlan 是邏輯端口，通常這個接口地址作為vlan下面用戶的網關。

步驟2 配置ACL

# 創建基本ACL 2001并配置ACL規則，拒絕源IP地址為10.1.1.11和10.1.2.12的主機的報 文通過。

[Switch] acl 2001

[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //禁止IP地址為10.1.1.11的主機訪問外網

[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //禁止IP地址為10.1.2.12的主機訪問外網

[Switch-acl-basic-2001] quit

步驟3 配置基于基本ACL的流分類

#配置基于基本ACL的流分類 # 配置流分類tc1，對匹配ACL 2001的報文進行分類。

[Switch] traffic classifier tc1 //創建流分類

[Switch-classifier-tc1] if-match acl 2001 //將ACL與流分類關聯

[Switch-classifier-tc1] quit

步驟4 配置流行為

# 配置流行為tb1，動作為拒絕報文通過。

[Switch] traffic behavior tb1 //創建流行為

[Switch-behavior-tb1] deny //配置流行為動作為拒絕報文通過 [Switch-behavior-tb1] quit

步驟5 配置流策略

# 定義流策略，將流分類與流行為關聯。

[Switch] traffic policy tp1 //創建流策略

[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //將流分類tc1與流行為tb1關聯

[Switch-trafficpolicy-tp1] quit

步驟6 在接口下應用流策略

# 由于內網主機訪問外網的流量均從接口GE0/0/3出口流向Internet，所以可以在接口 GE0/0/3的出方向應用流策略。

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流策略應用在接口出方向

[Switch-GigabitEthernet0/0/3] quit

3、驗收配置結果

# 查看ACL規則的配置信息

# 查看流分類的配置信息。

# 查看流策略的配置信息。

IP地址為10.1.1.11和10.1.2.12的主機無法訪問外網，其他主機均可以訪問外網。