实验二十三 基于时间的ACL配置及策略

实验要求：

• 某公司通过router实现各部门之间的互连。公司要求禁止销售部门在上班时间(8:00 至18:00)访问工资查询服务器(IP地址为192.168.10.10)，财务部门不受限制，可以 随时访问。

网络拓扑图：

实验步骤：

方法一、 使用VLANIF接口绑定ACL实现

1、主机接口IP分配表

2、配置接口加入VLAN，并配置VLANIF接口的IP地址

＃将GE0/0/1、GE0/0/2分别加入VLAN10、VLAN20，GE0/0/0加入VLAN100，并配置各VLANIF 接口的IP地址。

此时各PC和工资查询服务器之间都是可以互通的

3、配置时间段

＃配置工作日8:00至18:00的周期时间段

备注： 如果要配置绝对时间， 格式为

time-range satime from 8:00 2023/01/06 to 18:00 2023/01/07

4、配置ACL规则

＃配置销售部门到工资查询服务器的访问规则

5、在VLANIF 10接口应用ACL 3001，方向是inbound

6、测试

＃首先检查路由器的系统时间

＃在系统时间是工作日的8:00至18:00之间测试销售部门PC和工资查询服务器之间的连通 性。和查看ACL3001。

＃设置系统时间为工作日的8:00至18:00之间以外的时间，测试销售部门PC和工资查询服务 器之间的连通性。和查看ACL3001

方法二、配置基于 ACL 流策略实现

1、取消 VLANIF10 接口的 ACL 应用

2、配置基于 ACL 的流分类

＃配置流分类 C_XS，对匹配 ACL3001 的报文进行分类

3、配置流行为

＃配置流行为b_xs，动作为拒绝报文通过

4、配置流策略

＃定义流策略，绑定流分类c_xs和流行为b_xs

5、应用流策略

6、检查配置结果

＃查看ACL规则的配置信息

＃查看流策略的应用信息