华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
使用高级ACL限制用户在特定时间访问特定服务器的权限示例
ACL简介
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。
本例,就是通过配置高级ACL,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。
组网需求
如图10-161所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为10.164.9.9/24),总裁办公室不受限制,可以随时访问。
配置思路
采用如下的思路在Switch上进行配置:
- 配置VLAN和VLANIF接口的IP地址。
- 配置时间段和高级ACL。
- 应用ACL,使设备可以通过基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。
操作步骤
- 配置接口加入VLAN,并配置VLANIF接口的IP地址。
- 单击“新建”,进入“新建VLAN”界面。
- 设置“VLAN ID”为“10”。
- 勾选“创建VLANIF接口”,在“IPv4地址”输入“10.164.1.1”,选择“掩码”为“24”。
- 单击“添加接口”,单击“选择接口”,选择接口“GigabitEthernet1/0/1”,并单击“确定”。
如图10-162所示,单击“确定”,完成配置。
- 单击“新建”,进入“新建VLAN”界面。
- 配置时间段。
- 单击“新建”,进入“新建生效时间段”界面。
- 设置“生效时间段名称”。
- 取消勾选“时间范围”。
- 在“周期时间”中设置“每周生效时间”、“开始时间”和“结束时间”,单击
。
如图10-163所示,单击“确定”,完成配置。
- 单击“新建”,进入“新建生效时间段”界面。
- 配置ACL。
- 应用ACL。
。
