小型企业局域网中用ACL充当简单的包过滤防火墙

开篇：润墨网以专业的文秘视角，为您筛选了一篇小型企业局域网中用ACL充当简单的包过滤防火墙范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：在小型企业局域网的组网过程中，可以使用配置acl（Access Control List）的方式来充当简单的包过滤防火墙。采用本文的组网方式，可以节约成本，通过访问控制列表实现简单的包过滤，起到了包过滤防火墙的作用，从一定程度上保证网络的安全。所以采用配置ACL来充当简单的包过滤防火墙有一定的现实意义。

关键词：局域网 ACL 服务器

中图分类号：TP393.03 文献标识码：A 文章编号：1007-9416（2016）04-0000-00

在局域网的组建过程中，通常采用三层交换机作为局域网的核心设备，通过三层交换机连接路由器，路由器连接防火墙，再由防火墙连接外网的形式来组网。如图1所示。采用这种组网方式通过防火墙来保证网络的安全性。但是对于小型企业来说，成本是组网过程中的一个重要考虑因素。因此在小型局域网的组网中，我们可以通过在路由器上配置ACL来充当简单的包过滤防火墙，这样在保障安全的前提下可以节约组网的成本。

1 ACL简介

ACL（Access Control List）表示访问控制列表。使用ACL可以控制网络中数据流的传输。归纳起来ACL主要起到两个作用，一是进行包过滤，二是对流量进行分类。ACL分为标准ACL和扩展ACL两种。标准ACL基于源IP地址进行过滤，规则简单，匹配速度快。扩展ACL可基于源地址、目标地址、协议及端口号进行过滤，对数据流控制的“粒度化”更好。

2 小型企业局域网的组建

已知某小型企业下设经理室、财务部、市场部、售后部等部门。现为该公司组建局域网，网络拓扑图如图2所示。整个局域网通过路由器连接到Internet，核心层三层交换机和路由器相连，服务器单独连接路由器，属于单独的广播域。各部门划分为单独的子网，通过二层交换机和三层交换机相连。各部门的地址分配如表1所示。

图2中路由器的S0/0口连接外网，f0/0口连接服务器，f0/1口连接三层交换机。三层交换分别连接经理室、财务部、市场部、售后部网段的二层交换机，再由二层交换机连接到各部门的主机。

除表1中所示各部门地址外，路由器和三层交换所连网段为192.168.6.0/24。

首先按照图2完成所有设备的连接，接下来完成所有设备的基础配置，即完成路由器、交换机等设备的基本配置和端口配置，以及各主机和服务器的安装调试。在路由器和三层交换机上添加路由，使得所有设备能够互通，测试网络的连通性。

3 用ACL完成包过滤功能

组网完成后，进行ACL的设置，通过ACL对外网访问内网的流量进行过滤，来保证该局域网的安全性。具体要求为：

禁止外网主机FTP和Telnet服务器。

禁止外网主机以HTTP方式访问经理室和财务部。

阻止外网主机ping内网主机。

3.1 ACL的配置

分析：根据本文的要求，过滤时涉及到具体的协议，所以选择使用扩展访问控制列表进行配置。FTP和Telnet服务都是通过TCP协议实现的，端口号（eq）分别为21和23。HTTP协议的端口号为80。Ping命令通过IMCP协议实现。服务器的地址为192.168.5.5，经理室和财务部的地址范围分别为192.168.1.0/24和192.168.2.0/24。

根据分析，在路由器上配置如下ACL条目：

Router（config）#access-list 111 deny tcp any host 192.168.5.5 eq 21

Router（config）#access-list 111 deny tcp any host 192.168.5.5 eq 23

Router（config）#access-list 111 deny tcp any 192.168.1.0 0.0.0.255 eq 80

Router（config）#access-list 111 deny tcp any 192.168.2.0 0.0.0.255 eq 80

Router（config）#access-list 111 deny icmp any any

Router（config）#access-list 111 permit ip any any

根据ACL的特性，所有的条目最后会有一条隐含的deny语句，所以增加第六条语句使得其他功能可以实现。

3.2 ACL的放置

ACL的条目配置完成后，需要放置在正确的位置才能生效。根据本文的要求，我们将ACL条目放置在s0/0口的入口方向。配置命令如下：

Router（config）#int s0/0

Router（config-if）#ip access-group 111 in

4 结语

采用本文的组网方式，可以节约成本，通过访问控制列表实现简单的包过滤，起到了包过滤防火墙的作用，从一定程度上保证网络的安全。所以采用配置ACL来充当简单的包过滤防火墙有一定的现实意义。

参考文献

[1]袁国忠，徐宏译.Todd Lammle著.CCNA学习指南（第7版）.北京：人民邮电出版社，2012.

[2]张文科，杨莉，程书红.路由器/交换机应用案例教程.北京：机械工业出版社，2012.

[3][日] 竹下隆史 等著.图解TCP/IP.北京：人民邮电出版社，2013.

[4]斯桃枝.路由与交换技术.北京：北京大学出版社，2008.

收稿日期：2016-01-29

作者简介：李翠梅（1981―），女，安徽六安人，硕士，讲师，从事计算机网络技术教学与研究。