中图分类号:TP393.03 文献标识码:A 文章编号:1007-9416(2016)04-0000-00
在局域网的组建过程中,通常采用三层交换机作为局域网的核心设备,通过三层交换机连接路由器,路由器连接防火墙,再由防火墙连接外网的形式来组网。如图1所示。采用这种组网方式通过防火墙来保证网络的安全性。但是对于小型企业来说,成本是组网过程中的一个重要考虑因素。因此在小型局域网的组网中,我们可以通过在路由器上配置ACL来充当简单的包过滤防火墙,这样在保障安全的前提下可以节约组网的成本。
1 ACL简介
ACL(Access Control List)表示访问控制列表。使用ACL可以控制网络中数据流的传输。归纳起来ACL主要起到两个作用,一是进行包过滤,二是对流量进行分类。ACL分为标准ACL和扩展ACL两种。标准ACL基于源IP地址进行过滤,规则简单,匹配速度快。扩展ACL可基于源地址、目标地址、协议及端口号进行过滤,对数据流控制的“粒度化”更好。
2 小型企业局域网的组建
已知某小型企业下设经理室、财务部、市场部、售后部等部门。现为该公司组建局域网,网络拓扑图如图2所示。整个局域网通过路由器连接到Internet,核心层三层交换机和路由器相连,服务器单独连接路由器,属于单独的广播域。各部门划分为单独的子网,通过二层交换机和三层交换机相连。各部门的地址分配如表1所示。
图2中路由器的S0/0口连接外网,f0/0口连接服务器,f0/1口连接三层交换机。三层交换分别连接经理室、财务部、市场部、售后部网段的二层交换机,再由二层交换机连接到各部门的主机。
除表1中所示各部门地址外,路由器和三层交换所连网段为192.168.6.0/24。
首先按照图2完成所有设备的连接,接下来完成所有设备的基础配置,即完成路由器、交换机等设备的基本配置和端口配置,以及各主机和服务器的安装调试。在路由器和三层交换机上添加路由,使得所有设备能够互通,测试网络的连通性。
3 用ACL完成包过滤功能
组网完成后,进行ACL的设置,通过ACL对外网访问内网的流量进行过滤,来保证该局域网的安全性。具体要求为:
禁止外网主机FTP和Telnet服务器。
禁止外网主机以HTTP方式访问经理室和财务部。
阻止外网主机ping内网主机。
3.1 ACL的配置
分析:根据本文的要求,过滤时涉及到具体的协议,所以选择使用扩展访问控制列表进行配置。FTP和Telnet服务都是通过TCP协议实现的,端口号(eq)分别为21和23。HTTP协议的端口号为80。Ping命令通过IMCP协议实现。服务器的地址为192.168.5.5,经理室和财务部的地址范围分别为192.168.1.0/24和192.168.2.0/24。
根据分析,在路由器上配置如下ACL条目:
Router(config)#access-list 111 deny tcp any host 192.168.5.5 eq 21
Router(config)#access-list 111 deny tcp any host 192.168.5.5 eq 23
Router(config)#access-list 111 deny tcp any 192.168.1.0 0.0.0.255 eq 80
Router(config)#access-list 111 deny tcp any 192.168.2.0 0.0.0.255 eq 80
Router(config)#access-list 111 deny icmp any any
Router(config)#access-list 111 permit ip any any
根据ACL的特性,所有的条目最后会有一条隐含的deny语句,所以增加第六条语句使得其他功能可以实现。
3.2 ACL的放置
ACL的条目配置完成后,需要放置在正确的位置才能生效。根据本文的要求,我们将ACL条目放置在s0/0口的入口方向。配置命令如下:
Router(config)#int s0/0
Router(config-if)#ip access-group 111 in
4 结语
采用本文的组网方式,可以节约成本,通过访问控制列表实现简单的包过滤,起到了包过滤防火墙的作用,从一定程度上保证网络的安全。所以采用配置ACL来充当简单的包过滤防火墙有一定的现实意义。
