ACL实现固定时间访问资源——项目

免责声明
本文旨在提供信息和解决问题的建议，观点和建议可能不适用于个人情况，仅供参考！！！
文章中所有敏感信息已经修改，对于因本文中提供的信息而导致的任何直接或间接损失或损害不承担责任。
使用本文中的信息和建议，即表示您已阅读、理解并接受本免责声明的条款和条件。

一、前言

客户某网段PC要在固定时间段可访问服务器

二、项目拓扑

三、项目需求

某网段PC要在固定时间段（08:00 to 20:00）可访问服务器

四、配置思路

配置IP地址，端口划分
PS：客户这边使用SW1的access VLAN10和SW2的access VLAN20互联，第一次见这种连法；不过一想access端口发送数据帧的时候是剥离VLAN tag，双方在线路上传输的时候实际上是无VLAN tag(vlan 1)的数据帧，确实可以这样连。Σ(っ °Д °;)っ

写静态，保证双方互通
这边本来想用，traffic behavior>redirect ip-nexthop去重定向报文的，不给他固定的路由，让仅在固定时间能重定向，然后试了半天没成功，无奈之下只能写静态

对于固定时间段（08:00 to 20:00）PC可访问服务器，这边采用高级acl的time-range功能可以实现，做流策略
流策略模拟器一直出问题，只好拿真机试了，果然模拟器有问题；time-range有10几秒的延时，不会立刻放行

五、配置步骤

1 IP地址

1. sw1的IP

[SW1]vlan 10
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 172.1.1.10 24

[SW1]vlan 100
[SW1]interface Vlanif 100
[SW1-Vlanif100]ip address 192.168.100.1 24

2. sw2的IP

[SW2]vlan 20
[SW2]interface Vlanif 20
[SW2-Vlanif20]ip address 172.1.1.20 24

[SW2]vlan 200
[SW2]interface Vlanif 200
[SW2-Vlanif200]ip address 192.168.200.1 24

2 端口类型

[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 100

[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 20

[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 200

3 静态路由

[SW1]ip route-static 192.168.200.10 32 172.1.1.20

[SW2]ip route-static 192.168.100.0 24 172.1.1.10

至此，PC1 ping Server1 可通

4 流策略

[Huawei]time-range time 08:00 to 20:00 daily

[Huawei]acl number 3000
[Huawei-acl-adv-3000]rule permit ip source 192.168.100.0 0.0.0.255 destination 192.168.200.10 0 time-range time
[Huawei-acl-adv-3000]rule deny ip

[Huawei-acl-adv-3000]traffic classifier 3000
[Huawei-classifier-3000]if-match acl 3000

[Huawei-classifier-3000]traffic behavior 3000
[Huawei-behavior-3000]permit

[Huawei-behavior-3000]traffic policy 3000
[Huawei-trafficpolicy-3000]classifier 3000 behavior 3000

[Huawei-trafficpolicy-3000]vlan 10
[Huawei-vlan10]traffic-policy 3000 outbound

更改时间，测试是否能在固定时间打开
time-range time XX:XX to XX:XX daily

六、结语

后续，上环境的时候又出了问题，写在下一篇