锐捷交换机基于时间的ACL

一、组网需求

  禁止vlan 2在每天的8：00到18：00访问vlan3，其他时间可以访问。

二、组网拓扑

   

 

三、配置要点

   1）要先配置设备的时间，参考“设备维护和管理 ---》设备时间设置及查看”章节

   2）时间段不能跨0：00，即如果要写晚上10：00点到第二天早上7：00的时间段，需要分两段写

    Ruijie(config)#time-range aaa

    Ruijie(config-time-range)#periodic daily 0:00 to 7:00

    Ruijie(config-time-range)#periodic daily 22:00 to 23:59

四、配置步骤

注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以千兆接口为例

  1）配置vlan 、svi口地址（vlan网关），接口划分到相应vlan里：

1.1）新建vlan 2、3

Ruijie>enable

Ruijie#configure terminal

       Ruijie(config)#vlan 2  ------>创建vlan 2

       Ruijie(config-vlan)#exit

       Ruijie(config)#vlan 3

       Ruijie(config-vlan)#exit

       1.2）划分接口到相应vlan下

        Ruijie(config)#interface GigabitEthernet 0/22

        Ruijie(config-if-GigabitEthernet 0/22)# switchport access vlan 2

        Ruijie(config)#interface GigabitEthernet 0/23

        Ruijie(config-if-GigabitEthernet 0/23)# switchport access vlan 3  ------>把交换机的第23个千兆接口划入到vlan 3

       1.3）配置vlan2和vlan3的svi口地址

 Ruijie(config)#interface vlan 2

        Ruijie(config-if-VLAN 2)#ip address 192.168.2.254 255.255.255.0  ------>配置vlan 2的网关地址

        Ruijie(config-if-VLAN 2)#exit

        Ruijie(config)#interface vlan 3

        Ruijie(config-if-VLAN 3)#ip address 192.168.3.254 255.255.255.0   ------>配置vlan 3的网关地址

        Ruijie(config-if-VLAN 3)#exit

2）配置g0/24为路由口

        Ruijie(config)#interface GigabitEthernet 0/24

        Ruijie(config-if-GigabitEthernet 0/24)#no switchport   ------>把交换机的第二十四千兆接口属性改成路由接口

        Ruijie(config-if-GigabitEthernet 0/24)#ip address 172.16.1.1 255.255.255.0   ------>配置ip地址

3）配置时间段

       Ruijie(config)#time-range one

       Ruijie(config-time-range)#periodic daily 8:00 to 18:00   ------>每天的8：00到18：00

4）配置标准ACL，并在svi口调用

       Ruijie(config)#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255  time-range one  ---->配置禁止vlan 2网段192.168.2.0/24用户在每天的8：00到18：00访问vlan3网段192.168.3.0/24

       Ruijie(config)#access-list 100 permit ip any any------>ACL默认最后一句是deny ip any any ,故为保证其他数据能通过必须配置一条permit ip any any

       Ruijie(config)#interface vlan 2

       Ruijie(config-if-VLAN 2)#ip access-group 100 in   ------>在接口下调用ACL，应用在in的方向

5) 保存配置

       Ruijie(config-if-VLAN 2)#end

       Ruijie#write    ------>确认配置正确，保存配置

五、验证命令

      Ruijie#show access-list 100  查看ACL的配置

     ip access-list extended 100

     10 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 time-range one (active)

     20 permit ip any any

     Ruijie#show time-range one   查看时间段的配置

     time-range entry: one (active)   ----->active表示目前时间属于time-range one中定义的时间8:00-18:00

     periodic Daily 8:00 to 18:00

Ruijie#show ip access-group    查看ACL在接口下的应用

ip access-group 100 in

Applied On interface vlan 2.