對(duì)于企業(yè)網(wǎng)絡(luò)，經(jīng)常會(huì)用到訪問(wèn)控制，例如限制員工的上網(wǎng)時(shí)間？或如何控制各部門(mén)之間的網(wǎng)絡(luò)互通等等，在實(shí)際企業(yè)網(wǎng)絡(luò)項(xiàng)目中經(jīng)常會(huì)遇到，這里面我們就可以用到ACL訪問(wèn)列表控制了，本期我們一起來(lái)看下，如何利用ACL禁止外網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器。

首先我們來(lái)了解下ACL，ACL即訪問(wèn)控制列表，那么它有什么作用呢？

(ACL)訪問(wèn)控制列表是一種基于包過(guò)濾的訪問(wèn)控制技術(shù)，它可以根據(jù)設(shè)定的條件對(duì)接口上的數(shù)據(jù)包進(jìn)行過(guò)濾，允許其通過(guò)或丟棄。

訪問(wèn)控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī)，借助于訪問(wèn)控制列表，可以有效地控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，從而最大程度地保障網(wǎng)絡(luò)安全。

例如：

為了某部門(mén)的保密性，不允許其訪問(wèn)外網(wǎng)，也不允許外網(wǎng)訪問(wèn)它，就可以通過(guò)ACL實(shí)現(xiàn)。那么我們來(lái)看下實(shí)例，如何利用ACL實(shí)現(xiàn)禁止外網(wǎng)訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器。

幾乎大部分公司都有自己內(nèi)部服務(wù)器，里面有一些公司保密性的內(nèi)容，只供內(nèi)部員工進(jìn)入，禁止外部網(wǎng)絡(luò)訪問(wèn)，大部分公司都會(huì)做這樣的限制，我們來(lái)看下這個(gè)華為的實(shí)例。

一、實(shí)例要求

某公司通過(guò)交換機(jī)實(shí)現(xiàn)各部門(mén)之間的互連。要求只允許公司內(nèi)網(wǎng)用戶可以訪問(wèn)內(nèi)網(wǎng)中的財(cái)務(wù)服務(wù)器，外網(wǎng)用戶不允許訪問(wèn)。

二、配置步驟

1、配置接口加入VLAN，并配置VLANIF接口的IP地址

# 將GE1/0/1～GE1/0/3分別加入VLAN10、20、30，這三個(gè)vlan中，也就是給公司三個(gè)部門(mén)各分配一個(gè)vlan。

GE2/0/1加入VLAN100，并配置各VLANIF接口的IP地址，也就是內(nèi)網(wǎng)財(cái)務(wù)服務(wù)器的端口單獨(dú)加一個(gè)vlan。

下面配置以GE1/0/1和VLANIF 10接口