一、组网需求
如下图:配置基于时间段的ACL规则,只允许研发部门在每天的12:00到13:30访问Internet。
二、 组网图
三、配置要点
●Device A配置时间段,并添加每天12:00到13:30的时间段表项。
●Device A配置IP标准ACL并添加规则,包括:
○ 添加允许源IP网段地址为10.1.1.0/24的规则,关联的时间段为access-internet。
○ 添加禁止源IP网段地址为10.1.1.0/24的规则。表明时间段之外都不允许访问Internet。
○ 添加允许除研发网段地址外,其他所有网段地址的规则。
● Device A将ACL应用在连接研发部接口的入方向上。
四、 配置步骤
(1) 配置时间区。
# Device A配置时间段。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# time-range access-internet
DeviceA(config-time-range)# periodic daily 12:00 to 13:30
DeviceA(config-time-range)# exit
(2) 配置IP标准ACL并添加访问规则。
# Device A配置IP标准ACL并添加访问规则。
DeviceA(config)# ip access-list standard ip_std_internet_acl
DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255 time-range access-internet
DeviceA(config-std-nacl)# deny 10.1.1.0 0.0.0.255
DeviceA(config-std-nacl)# permit any
DeviceA(config-std-nacl)# exit
(3) 将IP标准ACL应用到接口上。
# Device A将ACL应用在连接研发部接口的入方向上。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ip access-group ip_std_internet_acl in
五、 验证配置结果
● 检查Device A设备ACL配置命令是否正确。
DeviceA# show time-range
time-range entry: access-internet (inactive)
periodic Daily 12:00 to 13:30
DeviceA# show access-lists
ip access-list standard ip_std_internet_acl
10 permit 10.1.1.0 0.0.0.255 time-range access-internet (inactive)
20 deny 10.1.1.0 0.0.0.255
30 permit any
DeviceA# show access-group
ip access-group ip_std_internet_acl in
Applied On interface GigabitEthernet 0/1
# 在时间段生效期内(12:00至13:30),从研发部分内的某台PC机访问百度主页,确认可以访问。
# 在时间段失效期(12:00至13:30时段外),从研发部分内的某台PC机访问百度主页,确认不能访问。
六、 配置文件
● DeviceA的配置文件
hostname DeviceA
!
ip access-list standard ip_std_internet_acl
10 permit 10.1.1.0 0.0.0.255 time-range access-internet
20 deny 10.1.1.0 0.0.0.255
30 permit any
!
time-range access-internet
periodic daily 12:00 to 13:30
!
interface GigabitEthernet 0/1
no switchport
ip access-group ip_std_internet_acl in
ip address 10.1.1.1 255.255.255.0
!