S600-E系列交换机典型配置案例

配置特定时间段允许个别用户上网示例

ACL生效时间段简介

ACL定义了丰富的匹配项，可以满足大部分的报文过滤需求，但无法满足基于时间过滤报文的需求。

通过配置ACL生效时间段，并在ACL规则中引用，可以使设备基于时间过滤报文，从而能够管理员在不同时间段为用户设置不同的策略。

本例，就是在基本ACL中引入时间段，并在流策略模块中应用该ACL，使设备可以对特定时间段内用户访问外网的报文进行过滤，达到基于时间限制用户上网的目的。

配置注意事项

本例适用于S600-E交换机的所有版本所有产品。

组网需求

如图10-4所示，某公司通过Switch实现各部门之间的互连。公司要求在上班时间（周一至周五）所有员工均可以上网，但周末时间（周六和周日）仅允许各部门经理能够上网，其他用户不允许上网。

图10-4 配置特定时间段允许个别用户上网组网图

配置思路

采用如下的思路在Switch上进行配置：

配置时间段、基本ACL和基于ACL的流分类，使设备可以基于时间的ACL，对公司用户访问外网的报文进行过滤，从而达到在特定时间段内仅允许个别用户上网的目的。
配置流行为，允许匹配上ACL的permit规则的报文通过。
配置并应用流策略，使ACL和流行为生效。

操作步骤

配置接口所属的VLAN以及接口的IP地址

# 创建VLAN10和VLAN20。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20

# 配置Switch的接口GE0/0/1、GE0/0/2为trunk类型接口，并分别加入VLAN10和VLAN20；配置Switch的接口GE0/0/3为trunk类型接口，加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type trunk
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet0/0/3] quit

# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit

配置时间段

# 配置周六至周日的周期时间段。

[Switch] time-range rest-time 0:00 to 23:59 off-day  //配置ACL生效时间段，该时间段是一个周期时间段

配置ACL

# 创建基本ACL 2001并配置ACL规则，允许研发部和市场部经理主机（IP地址为10.1.1.11和10.1.2.12）在任意时间访问外网的报文通过，拒绝其他用户在周六和周日时间范围内访问外网的报文通过，即周六和周日仅允许研发部和市场部经理上网。

[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.11 0  //允许研发部经理任意时间访问外网
[Switch-acl-basic-2001] rule permit source 10.1.2.12 0  //允许市场部经理任意时间访问外网
[Switch-acl-basic-2001] rule deny time-range rest-time  //禁止其他用户在周六和周日时间访问外网
[Switch-acl-basic-2001] quit

配置基于基本ACL的流分类

# 配置流分类tc1，对匹配ACL 2001的报文进行分类。

[Switch] traffic classifier tc1  //创建流分类
[Switch-classifier-tc1] if-match acl 2001  //将ACL与流分类关联
[Switch-classifier-tc1] quit

配置流行为
# 配置流行为tb1，动作为允许报文通过（缺省值，不需配置）。

对于ACL规则中的动作permit、deny以及流行为中的动作permit、deny，只要存在一个是deny，匹配报文的最终处理结果就是deny，即丢弃报文。
```
[Switch] traffic behavior tb1  //创建流行为
[Switch-behavior-tb1] quit
```

配置流策略

# 定义流策略，将流分类与流行为关联。

[Switch] traffic policy tp1  //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit

在接口下应用流策略

# 由于内网主机访问外网的流量均从接口GE0/0/3出口流向Internet，所以可以在接口GE0/0/3的出方向应用流策略tp1。

[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] traffic-policy tp1 outbound  //流策略应用在接口出方向
[Switch-GigabitEthernet0/0/3] quit

验证配置结果

# 查看ACL规则的配置信息

[Switch] display acl 2001
Basic ACL 2001, 3 rules                                                         
Acl's step is 5                                                                 
 rule 5 permit source 10.1.1.11 0 (match-counter 0)                             
 rule 10 permit source 10.1.2.12 0 (match-counter 0)                            
 rule 15 deny time-range rest-time(match-counter 0) (Inactive)

# 查看流分类的配置信息

[Switch] display traffic classifier user-defined
  User Defined Classifier Information:
   Classifier: tc1
    Operator: AND
    Rule(s) : if-match acl 2001                                                 

Total classifier number is 1

# 查看流策略的配置信息

[Switch] display traffic policy user-defined tp1
  User Defined Traffic Policy Information:                                      
  Policy: tp1                                                                   
   Classifier: tc1                                                              
    Operator: AND                                                                
     Behavior: tb1                                                              
      Permit  
Total policy number is 1

# 上班时间，所有员工都可以访问外网。周末时间，仅研发部和市场部经理主机（IP地址为10.1.1.11和10.1.2.12）可以访问外网。

配置文件

Switch的配置文件

#
sysname Switch
#
vlan batch 10 20 
#                                                                               
time-range rest-time 00:00 to 23:59 off-day 
#
acl number 2001                                                                 
 rule 5 permit source 10.1.1.11 0                                               
 rule 10 permit source 10.1.2.12 0                                              
 rule 15 deny time-range rest-time 
#
traffic classifier tc1 operator and  
 if-match acl 2001                                                              
#
traffic behavior tb1
 permit
#
traffic policy tp1
 classifier tc1 behavior tb1
#
interface Vlanif10
 ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
 ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 
#
interface GigabitEthernet0/0/2
 port link-type trunk                                                           
 port trunk allow-pass vlan 20 
#
interface GigabitEthernet0/0/3
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 20 
 traffic-policy tp1 outbound
#
return

翻译

下载文档

更新时间：2024-03-14

文档编号：EDOC1000141427

浏览量：441150

下载量：2057

平均得分：4.3分

数字签名

数字签名校验工具

S600-E系列交换机 典型配置案例