acl的过滤规则(基于时间的ACL)
ACL有着丰富的过滤选项,可以应付大部分包过滤需求了。但需求是不断变化发展的, 新的需求总是不断涌现。例如, 某公司经理最近发现,有些员工在上班时间经常上网浏览与工作无关的网站,影响了工作,因此他通知网络管理员, 在网络上进行设置, 在上班时间只允许浏览与工作相关的几个网站,下班或周末时间才可能访问其他网站。
上述情况下,网络管理员就需要用到基于时间的ACL了。
配置方法三步走:
- 定义时间段:在系统视图下配置 time-range time-name { start-time to end-time days from time1 date1 [ to time2 date2 ] }命令。
- 用ACL定义规则并在规则中引用时间段。
acl acl-number rule [ rule-id ] { deny | permit } other-options time-range time-name
3. 应用ACL。
两种时间段模式第一种模式——相对时间段:主要以星期为参数来定义时间范围。
命令格式: time-range time-name start-time to end-time days
参数解析:
1、time-name:时间段名称,以英文字母开头的字符串。
2、start-time to end-time:开始时间和结束时间。格式: [小时:分钟] to [小时:分钟]。
3、 days:有多种表达方式:
– Mon、 Tue、 Wed、 Thu、 Fri、 Sat、 Sun中的一个或者几个的组合, 也可以用数字表达, 0表示星期日, 1表示星期一,……6表示星期六。
– working-day:从星期一到星期五,五天。
– daily:包括一周七天。
– off-day:包括星期六和星期日,两天。
举个例子:
要表示某个ACL从每周一的早上8点到每周二晚上6点生效, 其他时间不生效,可以配置这样的语句:
time-range time1 08:00 to 00:00 Mon time-range time1 00:00 to 18:00 Tue
再如,每周末的早9点到晚8点半,命令如下:
time-range time1 9:00 to 20:30 off-day
第二种模式——绝对时间段: 从某年某一某日的某一时间开始, 到某年某一某日的某一时间结束。
命令格式: time-range time-name from time1 date1 [ to time2 date2 ]
举个例子:
要使一个ACL从2013年1月1日早上8点半开始生效, 2013年12月31日晚上6点停止生效,命令如下:
time-range time1 from 08:30 2013/1/1 to 18:00 2013/12/31
为了加深大家的理解,再举2个例子。
例一:
某公司有新旧两个Web服务器。其中新服务器上放着新年贺岁版的公司主页,希望在2013年12月31日24点前, Internet的用户访问的是旧服务器(100.1.1.1/32)上的主页内容, 而不能访问新服务器(100.1.1.2/32)上的内容。 在此之后的新年里, 访问的是新版主页而不能访问旧版主页。配置基于时间的ACL:
time-range changetime from 00:00 2014/1/1 # acl 3000 deny tcp any host 100.1.1.1 eq 80 time-range changetime permit tcp any host 100.1.1.2 eq 80 time-range changetime deny tcp any host 100.1.1.2 eq 80 #
将ACL应用到对应的接口,就可以轻松实现这个功能 ,而不用半夜跑到办公室去修改ACL规则了。 ^_^
例二:
根据用户的使用习惯, 20:00~22:00为网络流量的高峰期,大量P2P、 下载类业务的使用影响了其他数据业务的正常使用,运营商可以设置在这个时间段内降低P2P、下载类业务的带宽,防止网络拥塞。
time-range test 20:00 to 22:00 daily acl 2000 rule permit source 129.9.0.0 0.0.255.255 time-range test //在ACL中配置time-range来控制规则的生效 时间 traffic classifier test if-match acl 2000 traffic behavior test car cir 100000 traffic policy test classifier test behavior test interface xxx traffic-policy test inbound
,
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com