定时禁止指定主机访问网络

我们在现网中有这样的需求，需要限制内网某些网段在指定的工作时间，禁止访问外网。

下面通过ACL加流过滤简易配置实现这个需求。

拓扑说明 AR1模拟出口路由器 SW1模拟核心交换机 pc1模拟内网PC

基础配置 pc 192.168.1.1 /24

Ar 1 192.168.1.254

AR1配置

sysname AR1

interface GigabitEthernet0/0/0

ip address 192.168.1.254 255.255.255.0

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

//模拟外网

SW1上的配置

sysname SW1

time-range work 08:00 to 18:00 working-day

//指定工作时间段

acl number 3000

rule 5 deny ip source 192.168.1.0 0.0.0.255 time-range work

//阻止192.168.1.0/24网段数据流

interface GigabitEthernet0/0/1

traffic-filter inbound acl 3000

//交换机接口的入方向进行数据过滤

配置完成后可以看到，未在交换机上做流限制的时候，PC访问外网正常，加上限制之后，无法访问外网了

配置思路总结：

采用包含禁止动作的流策略方式实现报文过滤，具体配置思路如下：

配置各接口，实现用户能通过Switch访问外部网络。

配置时间范围，用于在ACL中引用。

配置ACL，在工作时间段禁止报文通过。

在接口GE0/0/1的入方向配置报文过滤。

此方法简单易行。