若何制止公司内网主机拜候外网？

[db:作者]

有朋友屡次问到他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，若何让企业的某个部分只能拜候内网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，不能拜候外网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，这个在企业现实利用中很是普遍他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，为了保密他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，会使企业的部分收集制止与内部通讯。
这里面我们就需要用到ACL了他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，首先我们来领会下ACL他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，ACL即拜候控制列表他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，那末它有什么感化呢？
ACL的感化1、ACL可以限制收集流量、进步收集性能。例如他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，ACL可以按照数据包的协议他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，指定数据包的优先级。
2、ACL供给对通讯流量的控制手段。例如他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，ACL可以限制或简化路由更新信息的长度他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，从而限制经过路由器某一网段的通讯流量。
3、ACL是供给收集平安拜候的根基手段。ACL答应主机A拜候人力资本收集他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，而拒绝主机B拜候。
4、ACL可以在路由器端口处决议哪类范例的通讯流量被转发或被阻塞。例如他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，用户可以答应E-mail通讯流量被路由他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，拒绝一切的Telnet通讯流量。
例如：
某部分要求只能利用 WWW 这个功用他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，便可以经过ACL实现；
又例如他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，
为了某部分的保密性他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，不答应其拜候外网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，也不答应外网拜候它他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，便可以经过ACL实现。
那末我们来看下实例他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，若何实现利用 ACL 限制内网主机拜候外网。
1、案例
某公司经过交换机实现各部分之间的互连。现要求Switch可以制止研发部和市场部的部分主机拜候外网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，避免公司机密泄露。以华为例。
1、拓扑图

2、设置思绪
采用以下的思绪在Switch上停止设置：
1、设置根基ACL和基于ACL的流分类他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，使装备可以对研发部与市场部的指定主机的 报文停止过滤。
2、设置风行为他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，拒绝婚配上ACL的报文经过。
3. 设置并利用流战略他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，使ACL微风行为生效。
步调1 设置接口所属的VLAN以及接口的IP地址
# 建立VLAN10和VLAN20。
system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 设置Switch的接口GE0/0/1、GE0/0/2为trunk范例接口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，并别离加入VLAN10和 VLAN20；设置Switch的接口GE0/0/3为trunk范例接口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit
# 建立VLANIF10和VLANIF20他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，并设置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit
这里面提高下vlanif接口和vlan端口的区分：
（1）vlan端口：是物理端口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，凡是我们经过设置access vlan 10 使某个物理接口属于vlan 10
（2）vlan if ：interface vlan 是逻辑端口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，凡是这个接口地址作为vlan下面用户的网关。
步调2 设置ACL
# 建立根基ACL 2001并设置ACL法则他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，拒绝源IP地址为10.1.1.11和10.1.2.12的主机的报 文经过。
[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 //制止IP地址为10.1.1.11的主机拜候外网
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 //制止IP地址为10.1.2.12的主机拜候外网
[Switch-acl-basic-2001] quit
步调3 设置基于根基ACL的流分类
#设置基于根基ACL的流分类 # 设置流分类tc1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，对婚配ACL 2001的报文停止分类。
[Switch] traffic classifier tc1 //建立流分类
[Switch-classifier-tc1] if-match acl 2001 //将ACL与流分类关联
[Switch-classifier-tc1] quit
步调4 设置风行为
# 设置风行为tb1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，行动为拒绝报文经过。
[Switch] traffic behavior tb1 //建立风行为
[Switch-behavior-tb1] deny //设置风行为行动为拒绝报文经过 [Switch-behavior-tb1] quit
步调5 设置流战略
# 界说流战略他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，将流分类与风行为关联。
[Switch] traffic policy tp1 //建立流战略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与风行为tb1关联
[Switch-trafficpolicy-tp1] quit
步调6 在接口下利用流战略
# 由于内网主机拜候外网的流量均从接口GE0/0/3出口流向Internet他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，所以可以在接口 GE0/0/3的出偏向利用流战略。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound //流战略利用在接口出偏向
[Switch-GigabitEthernet0/0/3] quit
3、验收设置成果
# 检察ACL法则的设置信息

# 检察流分类的设置信息。

# 检察流战略的设置信息。

IP地址为10.1.1.11和10.1.2.12的主机没法拜候外网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码，其他主机都可以拜候外网。