■ 山东 任志强

编者按：当前很多企业都有局域网，一般采用网关设在核心交换机上的星型拓扑结构。在一些大中型企业日常网络管理中经常会遇到有外部人员因业务需求需要入住企业并通过企业内网（内部局域网）接入互联网。下面本文介绍一种通过企业局域网仅允许访问互联网的配置方式，以解决外部人员访问的安全问题。

如果企业部署有相关的网络安全管控设备，可以通过有关设备下发相关策略实现外部人员可以通过企业内网访问互联网而不能访问企业内部相关应用服务。这里就介绍另外一种方式，通过企业核心交换机

（或者网关交换机）的ACL访问控制列表实现相关功能，如此既可以为企业节约采购相关设备的费用，又可以灵活部署。

在此具体介绍有关ACL访问控制列表的配置方式。某企业采用的是星型网络拓扑，企业局域网各网段的网关均部署在核心交换机上。该企业每个网段的业务均是单一应

N用方式，如总部办公楼每层为一个网段，每一个二级公司为一个网段，业务服务应用（企业内网、ERP、OA等具体业务应用服务器均在该网段）为一个网段。该企业的需求是在局域网中有个网段172.168.5.0/24（该企业使用了公网IP用做了私网）需为外部客户分配一个IP地址172.168.5.59，要求接入该IP的电脑终端设备可以访问互联网但不允许访问内部网页和有关应用等。

那么实现该需求的主要配置步骤为：登陆企业核心（网关）交换机，登陆后的具体配置策略主要是如下：

首选创建Acl访问控制列表，在交换机配置界面输入Acl name fangke 通过该命令创建名为“fangke”的acl，回车进入acl配置界面，输入如图1命令。

Acl控制列表各项策略的主要作用为：

r u l e 0允 许172.168.5.0/24网段访问企业内部DNS主机；

Rule5禁止主机IP地址172.168.5.59访问企业内部服务器网段；

图1 创建acl访问控制列表

图2 创建流类

图3 创建流行为

Rule 10允 许172.168.5.0/24网段访问企业内部服务器网段；

其次创建流类，输入命令traffic classifier fangke创 建 名 为“fangke”classifier ，回车进入traffic classifier fangke配置界面并输入ifmatch acl fangke匹配名为“fangke”的Acl；如图2所示。

接着创建流行为，输入命令traffic behavior fangke创建名为“fangke”的behavior，回 车 进 入traffic behavior fangke配置界面并输入permit 命令（一般为默认permit，可不输）；如图3所示。

然后创建流策略，输入命令traffic policy fangke创 建 名 为“fangke” 的policy，回车进入traffic policy fangke 配置界面并输入classifier fangke behavior fangke；

最后将流策略下发到172.168.5.0/24网段所对应的vlan 305，在vlan配置界面输入vlan 305回车进入vlan 305配置界面，输入命令traffic-policy fangke inbound；

经过上述几个步骤配置命令已全部完成，可以通过实例测试应用效果。