我們在現網中有這樣的需求,需要限制内網某些網段在指定的工作時間,禁止訪問外網。
下面通過acl加流過濾簡易配置實現這個需求。
拓撲說明 AR1模拟出口路由器 SW1模拟核心交換機 pc1模拟内網PC
基礎配置 pc 192.168.1.1 /24
Ar 1 192.168.1.254
AR1配置
sysname AR1
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
//模拟外網
SW1上的配置
sysname SW1
time-range work 08:00 to 18:00 working-day
//指定工作時間段
acl number 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 time-range work
//阻止192.168.1.0/24網段數據流
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000
//交換機接口的入方向進行數據過濾
配置完成後可以看到,未在交換機上做流限制的時候,PC訪問外網正常,加上限制之後,無法訪問外網了
配置思路總結:
采用包含禁止動作的流策略方式實現報文過濾,具體配置思路如下:
配置各接口,實現用戶能通過Switch訪問外部網絡。
配置時間範圍,用于在ACL中引用。
配置ACL,在工作時間段禁止報文通過。
在接口GE0/0/1的入方向配置報文過濾。
此方法簡單易行。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!