cisco上设置基于时间的ACL访控列表
相信大家对于标准访问控制列表、扩展访问控制列表以及命名访问控制列表都不陌生。今天我们在这里要说的是基于时间的访问控制列表,时间访问控制列表提供基于时间的附加控制特性,定义在什么时间允许或拒绝数据包。通过基于时间的定时访问控制列表,网络管理员可以很方便的限制哪些用户的哪些数据包在规定的时间内是转发还是丢弃。这样的话,对内可以合理的分配网络带宽。对外可以提高公司内网的安全性。现在我们通过两个例子来说明定时的访问控制列表,首先看一下拓扑图:
ü路由器ACL-Router内网口F1/0(IP:192.168.1.1/24)连接内部局域网;
ü路由器ACL-Router广域网接口s0/0(IP:61.159.10.8/24)连接Internet。
概念:
在配置ACL之前,我们应该先了解一些关于定时访问控制列表的相关概念。其实很简单,和扩展访问控制列表差不多,只不过在配置之前定义一个了时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
定义时间范围之前,应该给这个时间范围取个名子,这样后面配置ACL时可以通过这个名子来引用。配置时间范围的命令如下:
ACL-Router(config)#time-rangetime-range-name
时间范围可以是一个时间周期,也可以是一个绝对的时间。至于什么情况下用什么,取决于企业的需求。配置一个时间周期的命令如下:
ACL-Router(config-time-range)#periodicdays-of-the-weekhh:mmtohh:mm
命令periodic是周期的意思,参数days-of-the-week的取值可参照下面:
取值说明
Monday星期一
Tuesday星期二
Wednesday星期三
Thursday星期四
Friday星期五
Saturday星期六
Sunday星期日
Daily每天
Weekdays平时(星期一至五)
Weekend周末(星期六至日)
如果要定义一个绝对时间,就用如下的命令:
ACL-Router(config-time-range)#absolute[starthh:mmdaymonthyear][endhh:mmdaymonthyear]
此命令可以精确的定义起始(start)的分、时、日、月、年(hh:mmdaymonthyear)及结束(end)时间。
具体的应用:
明白了上面的概念之后,配置就变的简单多了,借助于上面的拓扑我们来实现两个在企业里可能会碰到的需求。
例1:公司要求每周正常工作时间(周一到周五的每天8:30到17:30),允许所有的IP流量出外网。
第一步:配置路由基本信息、接口地址。
Router(config)#hostnameACL-Router
ACL-Router(config)#noipdolo
ACL-Router(config)#linec0
ACL-Router(config-line)#loggingsynch
ACL-Router(config-line)#exit
ACL-Router(config)#ints0/0
ACL-Router(config-if)#ipadd61.159.10.8255.255.255.0
ACL-Router(config-if)#noshut
ACL-Router(config-if)#intf1/0
ACL-Router(config-if)#ipadd192.168.1.1255.255.255.0
ACL-Router(config-if)#noshut
第二步:定义时间范围
ACL-Router(config)#time-rangezpp
ACL-Router(config-time-range)#periodicweekdays8:30to17:30
ACL-Router(config-time-range)#exit
说明:此处定义了一个名子叫ZPP的时间范围,此范围用参数weekdays指定了周一到周五每天的8:30到17:30.
第三步:在扩展ACL中引入时时间范围
ACL-Router(config)#access-list101permitipanyanytime-rangezpp
第四步:将ACL应用于接口
ACL-Router(config)#intf1/0
ACL-Router(config-if)#ipaccess-group101in
OK!现在员工就只能如ACL所配置的一样,只能在周一到周五的每天8:30到17:30访问外网,防止员工下班后非法使用公司网络资源。
例2:公司允许所有员工在2013年1月10日8:00到30日18:00这个时间段,访问外网。
第一步:配置路由基本信息、接口地址。
(如上所配置,此处不在多说)
第二步:定义时间范围
ACL-Router(config)#time-rangezpp2
ACL-Router(config-time-range)#absolutestart8:0010Jan2013end18:0030Jan2013
ACL-Router(config-time-range)#exit
第三步:在扩展ACL中引入时时间范围
ACL-Router(config)#access-list102permitipanyanytime-rangezpp2
第四步:将ACL应用于接口
ACL-Router(config)#intf1/0
ACL-Router(config-if)#ipaccess-group101in
好了,在2013年9月13日8:00到14日18:00这个时间段,所有的IP流量才会被通过,其于时间是不可以访问外网的,通过此例的说明,我们可以将有需要上网的员工集中到一个时间点,从而为公司节约成本。是中小型企业以及教育培训等机构网络资源的管家婆。
人生不能像做菜、把所有的料都准备好才下锅! 沙发!沙发! 商女不知亡国恨、妓女不懂婚外情。 我是来刷分的,嘿嘿 不要在一棵树上吊死,在附近几棵树上多试试死几次~ 一身忠诚的情谊给了兄弟,一身的悲剧给了回忆,故事,只属于懂得的人!
页:
[1]