ACL典型配置案列

一、組網(wǎng)需求

? ????要求1：某公司內(nèi)的各部門之間通過Device A實現(xiàn)互連，該公司的工作時間為每周工作日的8點到18點。

? ? ? 要求2 :? 通過配置，允許總裁辦在任意時間把将、財務部在工作時間訪問財務數(shù)據(jù)庫服務器，禁止其它部門在任何時間忆矛、財務部在非工作時間訪問該服務器察蹲。

二、組網(wǎng)圖

ACL典型配置組網(wǎng)圖

三催训、配置步驟

# 創(chuàng)建名為work的時間段洽议，其時間范圍為每周工作日的8點到18點。

<DeviceA> system-view

[DeviceA] time-range work 08:0 to 18:00 working-day

# 創(chuàng)建IPv4高級ACL 3000漫拭，并制訂如下規(guī)則：允許總裁辦在任意時間亚兄、財務部在工作時間訪問財務數(shù)據(jù)庫服務器，禁止其它部門在任何時間采驻、財務部在非工作時間訪問該服務器审胚。

[DeviceA] acl number 3000

[DeviceA-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0

[DeviceA-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work

[DeviceA-acl-adv-3000] rule deny ip source any destination 192.168.0.100 0

[DeviceA-acl-adv-3000] quit

# 應用IPv4高級ACL 3000對接口GigabitEthernet1/0/1出方向上的報文進行過濾。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] packet-filter 3000 outbound

[DeviceA-GigabitEthernet1/0/1] quit

四礼旅、 驗證配置

配置完成后膳叨，在各部門的PC（假設(shè)均為Windows XP操作系統(tǒng)）上可以使用ping命令檢驗配置效果，在Device A上可以使用display acl命令查看ACL的配置和運行情況痘系。例如在工作時間：

# 在財務部的PC上檢查到財務數(shù)據(jù)庫服務器是否可達菲嘴。

C:\> ping 192.168.0.100

Pinging 192.168.0.100 with 32 bytes of data:

Reply from 192.168.0.100: bytes=32 time=1ms TTL=255

Reply from 192.168.0.100: bytes=32 time<1ms TTL=255

Reply from 192.168.0.100: bytes=32 time<1ms TTL=255

Reply from 192.168.0.100: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.100:

? ? Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

? ? Minimum = 0ms, Maximum = 1ms, Average = 0ms

由此可見，財務部的PC能夠在工作時間訪問財務數(shù)據(jù)庫服務器碎浇。

# 在市場部的PC上檢查財務數(shù)據(jù)庫服務器是否可達临谱。

C:\> ping 192.168.0.100

Pinging 192.168.0.100 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 192.168.0.100:

? ? Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

由此可見，市場部的PC不能在工作時間訪問財務數(shù)據(jù)庫服務器奴璃。

# 查看IPv4高級ACL 3000的配置和運行情況。

[DeviceA] display acl 3000

Advanced ACL? 3000, named -none-, 3 rules,

ACL's step is 5

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0

rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (Active)

rule 10 deny ip destination 192.168.0.100 0

由此可見城豁，由于目前是工作時間苟穆，因此規(guī)則5是生效的。