
很多人做内网隔离时,第一反应是:
我已经划了 VLAN,不同 VLAN 之间不是隔离了吗?结果一上线才发现:
办公网还能访问生产网服务器
摄像头还能扫到财务电脑
访客网还能 ping 到核心交换机
这时候才意识到: VLAN ≠ 真正的安全隔离。
如果你只做 VLAN,不配 ACL,本质上只是分组,不是隔离。上篇内容也讲到这个问题。
今天直接给一套工程里最常用、最好落地的方案:VLAN 做“分区”,ACL 做“控制”
先结论在企业/园区/监控/工业网里:
VLAN:划分广播域 ;ACL:限制跨网访问权限组合方式:
不同业务进不同 VLAN + 三层网关上打 ACL
这才叫“基础隔离”。
一、为什么只靠 VLAN 不够?很多人误区在这里。
举个简单例子:
你有:
VLAN10:办公网
VLAN20:监控网
如果核心交换机开了三层网关:
interface Vlan10 192.168.10.1interface Vlan20 192.168.20.1
默认行为是:两个网段可以互通
因为:
交换机帮你做三层路由
没有任何限制策略
所以:
VLAN 只隔离广播 ,不隔离三层通信
这就是为什么你“分了 VLAN 还不安全”。
二、正确做法:VLAN + ACL 分工明确工程里的标准逻辑是:
第一步:VLAN 做业务分区(物理/逻辑隔离)
示例划分:
业务VLAN网段办公网10192.168.10.0/24监控网20192.168.20.0/24服务器区30192.168.30.0/24访客网40192.168.40.0/24目的: 减少广播 + 降低故障影响面
第二步:ACL 做访问控制(真正的安全)
这里,你需要明确回答一个问题:
谁可以访问谁?谁不能访问?
比如:典型需求
办公网 → 服务器:允许
监控网 → 服务器:允许(只允许 NVR)
访客网 → 内网:全部禁止
各 VLAN → 核心设备:禁止
这才是“隔离”。
三、最常见的 ACL 设计思路场景1:访客网只能上网,不能访问内网acl 3000 rule deny ip source 192.168.40.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 rule permit ip
绑定:
interface Vlan40 traffic-filter inbound acl 3000
效果:只能出互联网 ,不能访问任何内网
场景2:监控网只能访问NVR服务器只允许:
192.168.20.0 → 192.168.30.10
acl 3001 rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.30.10 0 rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 rule permit ip
效果:只允许访问指定服务器 ,扫不到其他主机
场景3:保护核心设备很多人忽略这一条。
结果:
被 ping 爆
被扫描
被攻击
建议:
acl 3999 rule deny ip source any destination 192.168.10.1 rule permit ip
绑定到管理口/三层接口。
生产网里非常实用
四、ACL 应该打在哪?这是新手最容易犯错的地方。
记住这个口诀:
策略靠近源头打(inbound 优先)
原因:
减少无效流量
降低设备压力
逻辑更清晰
所以一般:打在 VLAN 网关接口 ,不要打在核心出口乱堆 ACL
五、一套企业级通用架构参考工程里常见结构:
接入交换机(划VLAN) ↓核心三层交换机(SVI网关 + ACL) ↓防火墙/出口
职责分工:
接入:划分VLAN
核心:三层互通 + ACL控制
防火墙:南北向安全
这套架构基本适用于:
办公园区
视频监控
工厂网络
校园网
中小型企业
六、避坑1. 只划 VLAN 不做 ACL= 等于没隔离
2. ACL 写 allow any= 等于没写
3. 所有规则堆在出口= 性能差 + 难维护
4. 规则顺序乱ACL 是 从上往下匹配,命中即停
顺序非常关键。
七、总结如果只记住一句话,你就记:
VLAN 解决广播,ACL 解决安全或者更工程化一点:
VLAN 做“分区”,ACL 做“权限”两者缺一不可。