分类: 系统运维
2011-10-20 09:03:00
本示例中,公司企业网通过Switch的端口实现各部门之间的互连。研发部门由Ethernet2/0/1接入交换机,工资查询服务器的地址为192.168.1.2。要求正确配置ACL,限制研发部门在工作日8:00至18:00访问工资服务器。网络结构如图19-2所示。
图19-2 高级ACL配置示例网络结构
下面是具体的配置步骤。
(1) 定义时间段(定义8:00至18:00的周期时间段)
[H3C] time-range test 8:00 to 18:00 working-day
2) 定义到工资服务器的ACL
(1)进入 ACL 3000视图。
[H3C] acl number 3000
(2)定义研发部门到工资服务器的访问规则。
[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test
[H3C-acl-adv-3000] quit
3) 在端口上应用ACL(# 在Ethernet 2/0/1端口上应用ACL 3000)
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] packet-filter inbound ip-group 3000
