锐捷交换机访问控制策略配置实例

一、应用场景&功能需求：

        1、校内访问外网和内部服务器不受限制；

        2、每天23:00至第二天早上7:00这段时间不允许外网IP访问校内服务器。

        原本这种事情应该交给防火墙去干的，防火墙本来就是干这个的。然并卵，只好含着委屈的泪花让交换机来干了！

二、IP规划说明（学校内部IP规划）：

        有线：172.16.0.0/12

        无线：10.0.0.0/12

        服务器网段：172.16.8.0/24

三、配置流程、思路：

1、配置时间段

time-range work-timeperiodic Daily 7:00 to 23:00

2、配置控制策略

ip access-list extended close-srv-at-night5 permit ip 172.30.8.64 0.0.0.7 any //网管员电脑IP20 permit ip 172.16.0.0 0.15.255.255 any30 permit ip 10.0.0.0 0.15.255.255 any40 permit ip 117.118.8.0 0.0.0.255 any  //SRV-NAT公网IP50 permit ip any host 172.16.8.2  //DNS60 permit ip any host 172.16.8.5  //GATEWAY100 permit ip any host 172.16.8.8 //VPN-DEVICE110 permit ip any host 172.16.8.15  //校门车辆出入门禁服务器115 permit ip any host 172.16.8.16  //水电缴费服务器135 deny tcp any any eq 22145 deny tcp any any eq telnet155 deny tcp any any eq 1433165 deny tcp any any eq 1521175 deny tcp any any eq 3306185 deny tcp any any eq 3389200 permit ip any any time-range work-time500 deny ip any any

3、在相应的接口上应用控制策略

interface AggregatePort 86description to:cloud-srv-switch-1(172.16.0.3)switchport mode trunkip access-group close-srv-at-night outinterface AggregatePort 88description to:cloud-srv-switch-2(172.16.0.4)switchport mode trunkip access-group close-srv-at-night out

OK！