0
点赞
收藏
分享

微信扫一扫

配置访问控制列表ACL(三)

琛彤麻麻 2022-04-13 阅读 45
tcp/ip运维

基于时间的 ACL 配置及策略

某公司通过 router 实现各部门之间的互连。
公司要求禁止销售部门PC2在上班时间(8:00至 18:00)访问工资查询服务器(IP 地址为 192.168.10.10),
财务部门PC1不受限制,可以随时访问。

网络拓扑图如下:
在这里插入图片描述

配置各个主机IP地址:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

此处使用的是AR1220,没有接口e2/0/0这个的接口,所以在AR未启动的时候:右键–>设置–>如图将8EF1GE的接口卡放入第一行的卡槽中。就有了多的E端口
在这里插入图片描述
配置PC的vlan使得每个PC与Server1是可以互通的:

[R1]vlan 10
[R1-vlan10]vlan 20
[R1-vlan20]vlan 100

[R1-vlan100]int e2/0/1
[R1-Ethernet2/0/1]port link-type access 
[R1-Ethernet2/0/1]port default vlan 10

[R1-Ethernet2/0/1]int e2/0/2
[R1-Ethernet2/0/2]port link-type access 
[R1-Ethernet2/0/2]port default vlan 20

[R1-Ethernet2/0/2]int e2/0/0
[R1-Ethernet2/0/0]port link-type access 
[R1-Ethernet2/0/0]port default vlan 100
[R1-Ethernet2/0/0]quit

在R1上配置各个vlan的IP地址:

[R1]int vlanif 10
[R1-Vlanif10]ip add 192.168.1.1 24
[R1-Vlanif10]int vlanif 20
[R1-Vlanif20]ip add 192.168.2.1 24
[R1-Vlanif20]int vlanif 100
[R1-Vlanif100]ip add 192.168.10.1 24

测试互通后
这里以PC1ping通Server1和PC2为例:
在这里插入图片描述

配置时间规则的ACL:

[R1]acl 3001
[R1-acl-adv-3001]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1
0.10 0 time-range satime
[R1-acl-adv-3001]dis acl 3001
Advanced ACL 3001, 1 rule
Acl's step is 5
 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0 time-ra
nge satime (Active) 

[R1-acl-adv-3001]quit
[R1]int vlanif 100
[R1-Vlanif100]traffic-filter inbound acl 3001
[R1-Vlanif100]quit
[R1]

在工作日的8点到18点,PC1不能访问Server1,但是PC2可以访问
在这里插入图片描述

举报

相关推荐

0 条评论