锐捷交换机访问控制策略配置实例

锐捷交换机访问控制策略配置实例

一、应用场景&功能需求：

        1、校内访问外网和内部服务器不受限制；

        2、每天23:00至第二天早上7:00这段时间不允许外网IP访问校内服务器。

        原本这种事情应该交给防火墙去干的，防火墙本来就是干这个的。然并卵，只好含着委屈的泪花让交换机来干了！

二、IP规划说明（学校内部IP规划）：

        有线：172.16.0.0/12

        无线：10.0.0.0/12

        服务器网段：172.16.8.0/24

三、配置流程、思路：

1、配置时间段

time-range work-time
 periodic Daily 7:00 to 23:00

2、配置控制策略

ip access-list extended close-srv-at-night
 5 permit ip 172.30.8.64 0.0.0.7 any //网管员电脑IP
 20 permit ip 172.16.0.0 0.15.255.255 any
 30 permit ip 10.0.0.0 0.15.255.255 any
 40 permit ip 117.118.8.0 0.0.0.255 any  //SRV-NAT公网IP
 50 permit ip any host 172.16.8.2  //DNS
 60 permit ip any host 172.16.8.5  //GATEWAY
 100 permit ip any host 172.16.8.8 //VPN-DEVICE
 110 permit ip any host 172.16.8.15  //校门车辆出入门禁服务器
 115 permit ip any host 172.16.8.16  //水电缴费服务器
 135 deny tcp any any eq 22
 145 deny tcp any any eq telnet
 155 deny tcp any any eq 1433
 165 deny tcp any any eq 1521
 175 deny tcp any any eq 3306
 185 deny tcp any any eq 3389
 200 permit ip any any time-range work-time
 500 deny ip any any

3、在相应的接口上应用控制策略

interface AggregatePort 86
 description to:cloud-srv-switch-1(172.16.0.3)
 switchport mode trunk
 ip access-group close-srv-at-night out

interface AggregatePort 88
 description to:cloud-srv-switch-2(172.16.0.4)
 switchport mode trunk
 ip access-group close-srv-at-night out

OK！