DC娱乐网

VLAN + ACL 怎么做基础隔离?

很多人做内网隔离时,第一反应是:我已经划了 VLAN,不同 VLAN 之间不是隔离了吗?结果一上线才发现:办公网还能访问

很多人做内网隔离时,第一反应是:

我已经划了 VLAN,不同 VLAN 之间不是隔离了吗?

结果一上线才发现:

办公网还能访问生产网服务器

摄像头还能扫到财务电脑

访客网还能 ping 到核心交换机

这时候才意识到: VLAN ≠ 真正的安全隔离。

如果你只做 VLAN,不配 ACL,本质上只是分组,不是隔离。上篇内容也讲到这个问题。

今天直接给一套工程里最常用、最好落地的方案:VLAN 做“分区”,ACL 做“控制”

先结论

在企业/园区/监控/工业网里:

VLAN:划分广播域 ;ACL:限制跨网访问权限

组合方式:

不同业务进不同 VLAN + 三层网关上打 ACL

这才叫“基础隔离”。

一、为什么只靠 VLAN 不够?

很多人误区在这里。

举个简单例子:

你有:

VLAN10:办公网

VLAN20:监控网

如果核心交换机开了三层网关:

interface Vlan10 192.168.10.1interface Vlan20 192.168.20.1

默认行为是:两个网段可以互通

因为:

交换机帮你做三层路由

没有任何限制策略

所以:

VLAN 只隔离广播 ,不隔离三层通信

这就是为什么你“分了 VLAN 还不安全”。

二、正确做法:VLAN + ACL 分工明确

工程里的标准逻辑是:

第一步:VLAN 做业务分区(物理/逻辑隔离)

示例划分:

业务VLAN网段办公网10192.168.10.0/24监控网20192.168.20.0/24服务器区30192.168.30.0/24访客网40192.168.40.0/24

目的: 减少广播 + 降低故障影响面

第二步:ACL 做访问控制(真正的安全)

这里,你需要明确回答一个问题:

谁可以访问谁?谁不能访问?

比如:典型需求

办公网 → 服务器:允许

监控网 → 服务器:允许(只允许 NVR)

访客网 → 内网:全部禁止

各 VLAN → 核心设备:禁止

这才是“隔离”。

三、最常见的 ACL 设计思路场景1:访客网只能上网,不能访问内网

acl 3000 rule deny ip source 192.168.40.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 rule permit ip

绑定:

interface Vlan40 traffic-filter inbound acl 3000

效果:只能出互联网 ,不能访问任何内网

场景2:监控网只能访问NVR服务器

只允许:

192.168.20.0 → 192.168.30.10

acl 3001 rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.30.10 0 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 rule permit ip

效果:只允许访问指定服务器 ,扫不到其他主机

场景3:保护核心设备

很多人忽略这一条。

结果:

被 ping 爆

被扫描

被攻击

建议:

acl 3999 rule deny ip source any destination 192.168.10.1 rule permit ip

绑定到管理口/三层接口。

生产网里非常实用

四、ACL 应该打在哪?

这是新手最容易犯错的地方。

记住这个口诀:

策略靠近源头打(inbound 优先)

原因:

减少无效流量

降低设备压力

逻辑更清晰

所以一般:打在 VLAN 网关接口 ,不要打在核心出口乱堆 ACL

五、一套企业级通用架构参考

工程里常见结构:

接入交换机(划VLAN)        ↓核心三层交换机(SVI网关 + ACL)        ↓防火墙/出口

职责分工:

接入:划分VLAN

核心:三层互通 + ACL控制

防火墙:南北向安全

这套架构基本适用于:

办公园区

视频监控

工厂网络

校园网

中小型企业

六、避坑1. 只划 VLAN 不做 ACL

= 等于没隔离

2. ACL 写 allow any

= 等于没写

3. 所有规则堆在出口

= 性能差 + 难维护

4. 规则顺序乱

ACL 是 从上往下匹配,命中即停

顺序非常关键。

七、总结

如果只记住一句话,你就记:

VLAN 解决广播,ACL 解决安全

或者更工程化一点:

VLAN 做“分区”,ACL 做“权限”

两者缺一不可。