銳捷交換機通路控制政策配置執行個體

一、應用場景&功能需求：

        1、校内通路外網和内部伺服器不受限制；

        2、每天23:00至第二天早上7:00這段時間不允許外網IP通路校内伺服器。

        原本這種事情應該交給防火牆去幹的，防火牆本來就是幹這個的。然并卵，隻好含着委屈的淚花讓交換機來幹了！

二、IP規劃說明（學校内部IP規劃）：

        有線：172.16.0.0/12

三、配置流程、思路：

1、配置時間段

time-range work-time
 periodic Daily 7:00 to 23:00      

2、配置控制政策

ip access-list extended close-srv-at-night
 5 permit ip 172.30.8.64 0.0.0.7 any //網管員電腦IP
 20 permit ip 172.16.0.0 0.15.255.255 any
 30 permit ip 10.0.0.0 0.15.255.255 any
 40 permit ip 117.118.8.0 0.0.0.255 any  //SRV-NAT公網IP
 50 permit ip any host 172.16.8.2  //DNS
 60 permit ip any host 172.16.8.5  //GATEWAY
 100 permit ip any host 172.16.8.8 //VPN-DEVICE
 110 permit ip any host 172.16.8.15  //校門車輛出入門禁伺服器
 115 permit ip any host 172.16.8.16  //水電繳費伺服器
 135 deny tcp any any eq 22
 145 deny tcp any any eq telnet
 155 deny tcp any any eq 1433
 165 deny tcp any any eq 1521
 175 deny tcp any any eq 3306
 185 deny tcp any any eq 3389
 200 permit ip any any time-range work-time
 500 deny ip any any      

3、在相應的接口上應用控制政策

interface AggregatePort 86
 description to:cloud-srv-switch-1(172.16.0.3)
 switchport mode trunk
 ip access-group close-srv-at-night out

interface AggregatePort 88
 description to:cloud-srv-switch-2(172.16.0.4)
 switchport mode trunk
 ip access-group close-srv-at-night out