问题描述:
核心交换机上有一组聚合口,模式trunk,包括好几个段IP,其中包括IP172.16.184.0 255.255.248.0 这个大段。
业务要求:在这个聚合口上面 晚上23:30 到凌晨6:20这个时间内,会断掉所有网络,除172.16.184.0 255.255.248.0 这个段IP可以正常上网。
其他时间不断网,任何IP电脑都要正常通讯。
我做了2种ACL策略,但是没效果,到了这个时间段会断掉所有网络。郁闷当中,请求技术指导。
时间:time-range night2 00:00 to 06:20 daily
time-range night1 23:30 to 23:59 daily
第一种:acl number 3001
rule 0 permit ip source 172.16.184.0 0.0.7.255 time-range night1
rule 5 permit ip source 172.16.184.0 0.0.7.255 time-range night2
rule 10 deny ip time-range night1
rule 15 deny ip time-range night2
直接在端口上应用:
interface GigabitEthernet2/0/11
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 600 to 624
packet-filter 3001 inbound
port link-aggregation group 701
port-isolate enable
第二种:
acl number 2000
rule 0 permit source 172.16.184.0 0.0.7.255 time-range night1
rule 5 permit source 172.16.184.0 0.0.7.255 time-range night2
acl number 2001
rule 0 deny time-range night1
rule 5 deny time-range night2
流:traffic classifier SuSe operator and
if-match acl 2001
traffic classifier 172.16.184 operator and
if-match acl 2000
traffic behavior SuSe filter deny
traffic behavior 172.16.184 filter permit
QOS:
qos policy CT_SuSe
classifier 172.16.184 behavior 172.16.184
classifier SuSe behavior SuSe
应用到接口:interface GigabitEthernet2/0/13
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 600 to 624
qos apply policy CT_SuSe inbound
port link-aggregation group 701
port-isolate enable
- 2018-10-31提问
- 举报
-
(0)
稍等,我仔细看看,稍后回复
- 2018-10-31回答
- 评论(2)
- 举报
-
(0)
这里面有具体的配置 http://www.h3c.com/cn/d_201807/1096445_30005_0.htm#_Toc520115460
1.4 时间段典型配置举例 1. 组网需求 要求通过在Device A上配置ACL规则,实现在2015年6月到2015年12月之间每周工作日的8点到18点只允许Host A访问Server。 2. 组网图 图1-1 时间段典型配置组网图 3. 配置步骤 # 创建名为work的时间段,其时间范围为2015年6月到2015年12月之间每周工作日的8点到18点。 <DeviceA> system-view [DeviceA] time-range work 08:00 to 18:00 working-day from 00:00 6/1/2015 to 24:00 12/31/2015 # 创建IPv4基本ACL 2001,并制订如下规则:在名为work的时间段内只允许来自192.168.1.2/32的报文通过、禁止来自其它IP地址的报文通过。 [DeviceA] acl basic 2001 [DeviceA-acl-ipv4-basic-2001] rule permit source 192.168.1.2 0 time-range work [DeviceA-acl-ipv4-basic-2001] rule deny source any time-range work [DeviceA-acl-ipv4-basic-2001] quit # 应用IPv4基本ACL 2001对接口GigabitEthernet1/0/2出方向上的报文进行过滤。 [DeviceA] interface gigabitethernet 1/0/2 [DeviceA-GigabitEthernet1/0/2] packet-filter 2001 outbound [DeviceA-GigabitEthernet1/0/2] quit 4. 验证配置 配置完成后,在Device A上可以使用display time-range命令查看时间段的配置和状态信息: # 显示所有时间段的配置和状态信息。 [DeviceA] display time-range all Current time is 13:58:35 6/20/2015 Friday Time-range : work (Active) 08:00 to 18:00 working-day from 00:00 6/1/2015 to 00:00 1/1/2012 由此可见,时间段work已经生效。
这里面有具体的配置 http://www.h3c.com/cn/d_201807/1096445_30005_0.htm#_Toc520115460
谢谢两位朋友的解答,你们说的方法,有些不适合我的网络环境,有的我早测试过。我昨天又重新做了个允许和拒绝在一起策略,还是不起作用,一到时间全部都给拒绝所有网络,断开了网络。172.16.184 这个段IP也被断了,有朋友来解惑下。
acl number 2000
rule 0 permit source 172.16.184.0 0.0.7.255 time-range night1
rule 5 permit source 172.16.184.0 0.0.7.255 time-range night2
rule 10 deny time-range night1
rule 15 deny time-range night2
- 2018-11-02回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明