时间访问控制列表 CISCO之CCNA篇之七(4)
2009-07-07 23:00
429 查看
前面几篇已经介绍了一些访问控制列表的知识,今天我们来具体介绍时间访问控制列表。
时间访问控制列表用途:
它可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
如公司想要限制员工只可在某个时间段访问共享服务器或者在某个时间段、某天不想让员工上网等等,都可以用时间ACL加以限制,在实际应用中比较灵活。
在配置时间ACL前,必须为路由器配置时间或者已经事先配好。
配置时间语法:#clock set hh:mm:ss <1-31> MONTH <1992-2035>
查看命令:#show clock
时间ACL语法:
【1】 config)#time-range [time-range-name]
【2】 config-time-range)#absolute start hh:mm <1-31> MONTH <1993-2035> end hh:mm <1-31> MONTH <1993-2035>
【2】 或者config-time-range)#periodic [星期几(英文)] hh:mm to hh:mm
【3】 config)#access-list <as号> [deny|permit] ip 源ip-address wildcard-address 目标ip-address wildcard-address time-range [time-range-name]
【4】 config)#access-list <as号> permit any any
【5】 config)#interface fa0/0
【6】 config-if)#ip access-group <as号> [in|out]
语法的一些参数解释:
time-range:用来定义时间范围;
time-range-name:时间范围名称,用来标识时间范围,以便在后面的访问列表中引用;
absolute:该命令用来指定绝对时间范围。它后面紧跟start和 end两个关键字。在两个关键字后面的时间要以24小时制和“hh: mm(小时:分钟)”表示,日期要按照“日/月/年”形式表示。
一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要以星期为参数来定义时间范围。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
注意:两条时间ACL语法【2】,二者只能选择其一,否则它将不能选择使用那一条规则,配置后将不能生效,且整个这一网段均不能通讯。下面的实验使用的是第一个语法【2】,第二个语法【2】这里就不再为大家演示了。(感谢王老师的指导)
实例:
试验目的:限制一台内网PC在今天的18:04到18:06这个时间段不能访问外网。
基本的配置如上图所示:
试验中用一台Router2代替了外网,时间访问控制列表配置在Router上,即试验中的router1。r1的主要配置如下:
r1#sh run
Building configuration...
Current configuration : 1033 bytes
!
! Last configuration change at 18:03:17 UTC Tue Jul 7 2009
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r1
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface Serial1/0
ip address 172.16.1.1 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
ip http server
!
access-list 101 deny ip host 192.168.1.2 host 172.16.1.2 time-range no-http
access-list 101 permit ip any any
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
time-range no-http
absolute start 18:04 07 July 2009 end 18:06 07 July 2009
!
end
r2的配置主要为:
2#sh run
hostname R2
interface Serial1/0
ip address 172.16.1.2
serial restart-delay 0
!
ip http server
ip route 192.168.1.0 255.255.255.0 172.16.1.1
试验结果,先看router1上查看到的7个不同的时间点(注意和后面的测试结果一一对应),
下图对应的是配置前18:03:24、18:03:35和18:04:03的访问,可以正常访问(有人可能会问,这里最后一个时间点已经是过18:04了,怎么还能访问外网呢。这就是模拟器的不足之处了,有延迟),
下图对应的访问是18:04:03、18:04:15和18:05:55的时间点,这里就可以看出效果了,已经不能和外网通讯了,
这幅图对应的访问时间点分别是18:05:55、18:06:31和18:07:21,可以看到,虽然在18:06:31时有延迟,但最终还是可以正常通讯了。
到这里,我们的试验目的已经达到了。实际应用中,时间ACL是非常灵活的,这要根据你的实际需要而定,其作用不可忽视。
访问列表系列就为大家介绍到这里,再多的也超出能力之外了。下面附件有自反ACL指南,有兴趣的同学可以看下,不再详细介绍了。再强调一次,要熟练访问列表配置指南,这里再次为大家拣主要的概括一下:
访问控制列表主要几条指南:
1.访问控制列表的编号标明访问列表类型;
2.每个接口,每个协议,每个方向上可以有一个访问控制列表;
3.访问控制列表的顺序决定被检验的顺序;
4.最特殊的规则应该被放到访问控制列表的前面;
5.在访问控制列表的最后有隐含的规则“拒绝所有的”;
6.访问控制列表应绑定到端口上:
标准的访问列表一般绑定接口位置:尽可能的放置在靠近目的IP的路由器接口上;
扩展的访问列表一般绑定接口位置:尽可能的放置在靠近源IP的路由器接口上;
7.访问控制列表过滤通过路由器的包,但是不能过滤由路由器自身产生的包。
本文出自 “冰泉” 博客,谢绝转载!
时间访问控制列表用途:
它可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
如公司想要限制员工只可在某个时间段访问共享服务器或者在某个时间段、某天不想让员工上网等等,都可以用时间ACL加以限制,在实际应用中比较灵活。
在配置时间ACL前,必须为路由器配置时间或者已经事先配好。
配置时间语法:#clock set hh:mm:ss <1-31> MONTH <1992-2035>
查看命令:#show clock
时间ACL语法:
【1】 config)#time-range [time-range-name]
【2】 config-time-range)#absolute start hh:mm <1-31> MONTH <1993-2035> end hh:mm <1-31> MONTH <1993-2035>
【2】 或者config-time-range)#periodic [星期几(英文)] hh:mm to hh:mm
【3】 config)#access-list <as号> [deny|permit] ip 源ip-address wildcard-address 目标ip-address wildcard-address time-range [time-range-name]
【4】 config)#access-list <as号> permit any any
【5】 config)#interface fa0/0
【6】 config-if)#ip access-group <as号> [in|out]
语法的一些参数解释:
time-range:用来定义时间范围;
time-range-name:时间范围名称,用来标识时间范围,以便在后面的访问列表中引用;
absolute:该命令用来指定绝对时间范围。它后面紧跟start和 end两个关键字。在两个关键字后面的时间要以24小时制和“hh: mm(小时:分钟)”表示,日期要按照“日/月/年”形式表示。
一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要以星期为参数来定义时间范围。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
注意:两条时间ACL语法【2】,二者只能选择其一,否则它将不能选择使用那一条规则,配置后将不能生效,且整个这一网段均不能通讯。下面的实验使用的是第一个语法【2】,第二个语法【2】这里就不再为大家演示了。(感谢王老师的指导)
实例:
试验目的:限制一台内网PC在今天的18:04到18:06这个时间段不能访问外网。
基本的配置如上图所示:
试验中用一台Router2代替了外网,时间访问控制列表配置在Router上,即试验中的router1。r1的主要配置如下:
r1#sh run
Building configuration...
Current configuration : 1033 bytes
!
! Last configuration change at 18:03:17 UTC Tue Jul 7 2009
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r1
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface Serial1/0
ip address 172.16.1.1 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
ip http server
!
access-list 101 deny ip host 192.168.1.2 host 172.16.1.2 time-range no-http
access-list 101 permit ip any any
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
time-range no-http
absolute start 18:04 07 July 2009 end 18:06 07 July 2009
!
end
r2的配置主要为:
2#sh run
hostname R2
interface Serial1/0
ip address 172.16.1.2
serial restart-delay 0
!
ip http server
ip route 192.168.1.0 255.255.255.0 172.16.1.1
试验结果,先看router1上查看到的7个不同的时间点(注意和后面的测试结果一一对应),
下图对应的是配置前18:03:24、18:03:35和18:04:03的访问,可以正常访问(有人可能会问,这里最后一个时间点已经是过18:04了,怎么还能访问外网呢。这就是模拟器的不足之处了,有延迟),
下图对应的访问是18:04:03、18:04:15和18:05:55的时间点,这里就可以看出效果了,已经不能和外网通讯了,
这幅图对应的访问时间点分别是18:05:55、18:06:31和18:07:21,可以看到,虽然在18:06:31时有延迟,但最终还是可以正常通讯了。
到这里,我们的试验目的已经达到了。实际应用中,时间ACL是非常灵活的,这要根据你的实际需要而定,其作用不可忽视。
访问列表系列就为大家介绍到这里,再多的也超出能力之外了。下面附件有自反ACL指南,有兴趣的同学可以看下,不再详细介绍了。再强调一次,要熟练访问列表配置指南,这里再次为大家拣主要的概括一下:
访问控制列表主要几条指南:
1.访问控制列表的编号标明访问列表类型;
2.每个接口,每个协议,每个方向上可以有一个访问控制列表;
3.访问控制列表的顺序决定被检验的顺序;
4.最特殊的规则应该被放到访问控制列表的前面;
5.在访问控制列表的最后有隐含的规则“拒绝所有的”;
6.访问控制列表应绑定到端口上:
标准的访问列表一般绑定接口位置:尽可能的放置在靠近目的IP的路由器接口上;
扩展的访问列表一般绑定接口位置:尽可能的放置在靠近源IP的路由器接口上;
7.访问控制列表过滤通过路由器的包,但是不能过滤由路由器自身产生的包。
本文出自 “冰泉” 博客,谢绝转载!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 扩展访问控制列表 CISCO之CCNA篇之七(3)
- Cisco路由器配置ACL详解之基于时间的访问控制列表
- Cisco路由器配置ACL详解之基于名称的访问控制列表
- CCNA入门---访问控制列表-ACL配置实例
- 基于时间的访问控制列表
- 时间访问控制列表简单应用
- 思科路由器--基于时间的访问列表控制
- 基于时间的访问控制列表配置实例
- 基于时间的访问控制列表(锐捷)
- 【锐捷网络】基于时间的访问控制列表实验
- CCNA课堂练习:控制访问列表(ACCESS LIST)
- CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别
- 时间的访问控制列表
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- 基于时间的访问控制列表[ACL]
- 维护基于时间的访问控制列表
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- 详解cisco访问控制列表ACL
- CISCO路由器访问控制列表---之经理权利
- 详解cisco访问控制列表ACL