高级ACL控制内网访问Internet
一、项目需求
1.允许工程部能够访问Internet;
2.允许财务部能够访问Internet,但只允许访问网站和收发邮件;
3.允许财务部能够使用ping命令测试到Internet网络是否通畅;
4.禁止财务部服务器访问Internet。基础环境配置参考这个网址:https://z-notes.cn/%e4%bd%bf%e7%94%a8%e5%9f%ba%e6%9c%acacl%e5%ae%9e%e7%8e%b0%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8/
二、添加高级ACL
[AR1-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255
[AR1-acl-adv-3000]rule 10 permit udp source 192.168.2.0 0.0.0.255 destination-po
rt eq 53 #--DNS
[AR1-acl-adv-3000]rule 15 permit tcp source 192.168.2.0 0.0.0.255 destination-po
rt eq www #--80
[AR1-acl-adv-3000]rule 20 permit tcp source 192.168.2.0 0.0.0.255 destination-po
rt eq 443 #--https
[AR1-acl-adv-3000]rule 25 permit tcp source 192.168.2.0 0.0.0.255 destination-po
rt eq 25 #--SMTP
[AR1-acl-adv-3000]rule 30 permit tcp source 192.168.2.0 0.0.0.255 destination-po
rt eq 110 #--POP3
[AR1-acl-adv-3000]rule 35 permit icmp source 192.168.2.0 0.0.0.255
[AR1-acl-adv-3000]rule 40 deny ip source 192.168.3.0 0.0.0.255
[AR1-acl-adv-3000]rule 50 deny ip
[AR1-acl-adv-3000]quit
[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
三、测试
财务部电脑PING通外网
外网也能PING通财务部电脑
工程部能访问外网
财务部服务器不能访问外网
外网也不能访问财务部服务器
四、ACL执行规则
