h3c7503設備上怎樣配置一些vlan網段禁止訪問某個vlan

1.6  ACL典型配置舉例

1.6.1  在接口上應用包過濾的ACL典型配置舉例

1. 組網需求

·     某公司內的各部門之間通過Device實現互連，該公司的工作時間為每周工作日的8點到18點。

·     通過配置，允許總裁辦在任意時間、財務部在工作時間訪問財務數據庫服務器，禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。

2. 組網圖

圖1-1 ACL典型配置組網圖

3. 配置步驟

# 創建名為work的時間段，其時間範圍為每周工作日的8點到18點。

<Device> system-view

[Device] time-range work 08:00 to 18:00 working-day

# 創建IPv4高級ACL 3000，並製訂如下規則：允許總裁辦在任意時間、財務部在工作時間訪問財務數據庫服務器，禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work

[Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0

[Device-acl-ipv4-adv-3000] quit

# 應用IPv4高級ACL 3000對接口GigabitEthernet1/0/1出方向上的報文進行過濾。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] packet-filter 3000 outbound

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置

配置完成後，在各部門的PC（假設均為Windows XP操作係統）上可以使用ping命令檢驗配置效果，在Device上可以使用display acl命令查看ACL的配置和運行情況。例如在工作時間：

# 在財務部的PC上檢查到財務數據庫服務器是否可達。

C:\> ping 192.168.0.100

Pinging 192.168.0.100 with 32 bytes of data:

Reply from 192.168.0.100: bytes=32 time=1ms TTL=255

Reply from 192.168.0.100: bytes=32 time<1ms TTL=255

Reply from 192.168.0.100: bytes=32 time<1ms TTL=255

Reply from 192.168.0.100: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.100:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 1ms, Average = 0ms

由此可見，財務部的PC能夠在工作時間訪問財務數據庫服務器。

# 在市場部的PC上檢查財務數據庫服務器是否可達。

C:\> ping 192.168.0.100

Pinging 192.168.0.100 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 192.168.0.100:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

由此可見，市場部的PC不能在工作時間訪問財務數據庫服務器。

# 查看IPv4高級ACL 3000的配置和運行情況。

[Device] display acl 3000

Advanced IPv4 ACL 3000, 3 rules,

ACL's step is 5

 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0

 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (Active)

 rule 10 deny ip destination 192.168.0.100 0

由此可見，由於目前是工作時間，因此規則5是生效的；且由於之前使用了ping命令的緣故，規則5和規則10分別被匹配了4次。