解决配置基于时间的ACL规则不生效问题

发布时间:  2012-07-17 浏览次数:  139 下载次数:  0
问题描述
某局点客户采用USG2110 V100R001C03SPC200设备配置基于时间ACL规则限制指定时间段上网功能,配置后发现不允许的时间段依然可以上网,时间段策略不生效。
告警信息
处理过程

1.检查客户ACL规则条目配置,发现客户配置的是 packet-filter 2002 outbound的ACL,并非是NAT上网的ACL。协助客户修改ACL为NAT引用的ACL,即ACL 2001.

2.检查客户时间段配置是没问题的,基于08:00 to 18:00 。

3.检查防火墙clock时间设置,发现是默认的,并没有更改防火墙的时间及时区。这样的话,配置防火墙的时间段ACL规则是基于防火墙本身的时间为基准的,防火墙本地时间不准确的话,配置时间段不会生效。修改了防火墙的时间段,测试效果很明显,立刻可以在指定时间内激活ACL,限制或允许PC上网。

ACL配置规则如下:

分别测试 a20时间段不允许上网,配置a30时间段允许上网。

time-range a20 08:00 to 18:00 daily
time-range a30 19:00 to 23:00 daily

Acl's step is 5
 rule 0 deny source address-set azz1 time-range a20(20 times matched) (Active
 rule 1 permit source address-set azz1 time-range a30(13 times matched) (Inactive)
 rule 2 permit source address-set a11 (0 times matched)

基于时间段时,ACL规则中处在激活状态的时间段将显示active,对于非激活状态显示Inactive

根因

1.ACL规则配置问题。

2.时间段配置问题。

3.防火墙时间配置问题

建议与总结
配置时间段,需要考虑防火墙本身时间,并且需要引用NAT上网的ACL.

END