如何让企业的某个部分只能访问内网，不能访问外网，为了保密，会使企业的部分网络禁止与外部通信。这个在企业实际应用中非常广泛，不断的有朋友问起。

　　前天我们发布过用ruote命令实现，那有没有其它的方法呢？

　　这里面我们就需要用到ACL了，首先我们来了解下ACL，ACL即访问控制列表，那么它有什么作用呢？ACL的作用

　　1、ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。2、ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。3、ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

　　例如：

　　某部门要求只能使用 这个功能，就可以通过ACL实现；

　　又例如，

　　为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

　　那么我们来看下实例，如何实现使用 ACL 限制内网主机访问外网。

　　1、案例

　　某公司通过交换机实现各部门之间的互连。现要求Switch能够禁止研发部和市场部的部分主机访问外网，防止公司机密泄露。以华为例。

　　1、拓扑图

　　2、配置思路采用如下的思路在Switch上进行配置：

　　1、配置基本ACL和基于ACL的流分类，使设备可以对研发部与市场部的指定主机的 报文进行过滤。

　　2、配置流行为，拒绝匹配上ACL的报文通过。

　　3. 配置并应用流策略，使ACL和流行为生效。

　　步骤1 配置接口所属的VLAN以及接口的IP地址

　　# 创建VLAN10和VLAN20。

　　<HUAWEI> system-view

　　[HUAWEI] sysname Switch

　　[Switch] vlan batch 10 20

　　# 配置Switch的接口GE01、GE02为trunk类型接口，并分别加入VLAN10和 VLAN20；配置Switch的接口GE03为trunk类型接口，加入VLAN10和VLAN20。

　　[Switch] interface gigabitethernet 01

　　[Switch-GigabitEthernet01] port link-type trunk

　　[Switch-GigabitEthernet01] port trunk allow-pass vlan 10

　　[Switch-GigabitEthernet01] quit

　　[Switch] interface gigabitethernet 02

　　[Switch-GigabitEthernet02] port link-type trunk

　　[Switch-GigabitEthernet02] port trunk allow-pass vlan 20

　　[Switch-GigabitEthernet02] quit

　　[Switch] interface gigabitethernet 03

　　[Switch-GigabitEthernet03] port link-type trunk

　　[Switch-GigabitEthernet03] port trunk allow-pass vlan 10 20

　　[Switch-GigabitEthernet03] quit

　　# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

　　[Switch] interface vlanif 10

　　[Switch-Vlanif10] ip address 10.1.1.1 24

　　[Switch-Vlanif10] quit

　　[Switch] interface vlanif 20

　　[Switch-Vlanif20] ip address 10.1.2.1 24

　　[Switch-Vlanif20] quit

　　这里面普及下vlanif接口和vlan端口的区别：

　　（1）vlan端口：是物理端口，通常我们通过配置access vlan 10 使某个物理接口属于vlan 10

　　（2）vlan if ：interface vlan 是逻辑端口，通常这个接口地址作为vlan下面用户的网关。

　　步骤2 配置ACL

　　# 创建基本ACL 2001并配置ACL规则，拒绝源IP地址为10.1.1.11和10.1.2.12的主机的报 文通过。

　　[Switch] acl 2001

　　[Switch-acl-basic-2001] rule deny source 10.1.1.11 0 \禁止IP地址为10.1.1.11的主机访问外网

　　[Switch-acl-basic-2001] rule deny source 10.1.2.12 0 \禁止IP地址为10.1.2.12的主机访问外网

　　[Switch-acl-basic-2001] quit

　　步骤3 配置基于基本ACL的流分类

　　#配置基于基本ACL的流分类 # 配置流分类tc1，对匹配ACL 2001的报文进行分类。

　　[Switch] traffic classifier tc1 \创建流分类

　　[Switch-classifier-tc1] if-match acl 2001 \将ACL与流分类关联

　　[Switch-classifier-tc1] quit

　　步骤4 配置流行为

　　# 配置流行为tb1，动作为拒绝报文通过。

　　[Switch] traffic behavior tb1 \创建流行为

　　[Switch-behavior-tb1] deny \配置流行为动作为拒绝报文通过 [Switch-behavior-tb1] quit

　　步骤5 配置流策略

　　# 定义流策略，将流分类与流行为关联。

　　[Switch] traffic policy tp1 \创建流策略

　　[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 \将流分类tc1与流行为tb1关联

　　[Switch-trafficpolicy-tp1] quit

　　步骤6 在接口下应用流策略

　　 # 由于内网主机访问外网的流量均从接口GE03出口流向Internet，所以可以在接口 GE03的出方向应用流策略。

　　[Switch] interface gigabitethernet 03

　　[Switch-GigabitEthernet03] traffic-policy tp1 outbound \流策略应用在接口出方向

　　[Switch-GigabitEthernet03] quit

　　3、验收配置结果

　　# 查看ACL规则的配置信息

　　# 查看流分类的配置信息。

　　# 查看流策略的配置信息。

　　 IP地址为10.1.1.11和10.1.2.12的主机无法访问外网，其他主机均可以访问外网。