在企業中,很多時候,需要控制網絡行爲,朋友經常訴苦,說單位的網絡慢,員工在網絡上玩遊戲,炒股,耽誤企業正常工作。其實時間ACL就可以解決這個問題。
下面我來針對朋友朋友企業,做個試驗說來說時間ACL的使用
時間訪問控制列表,主要是來限制企業內網用戶,來訪問外網權限
動態訪問控制列表,主要是限制外網用戶來訪問內網用戶權限
內網 企業路由 外網
R1-------S1/1-------S1/0--------R2--------S1/1--------S1/0-------R3
基本網絡環境的搭建: R1:
Router#confi t
Router(config)#host R1
R1(config)#int s1/1
R1(config-if)#ip add 192.168.12.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#net 192.168.12.0
R1(config-router)#end
R3:
Router>en
Router#confi t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host R2
R2(config)#int s1/0
R2(config-if)#ip add 192.168.12.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config-if)#int s1/1
R2(config-if)#ip add 192.168.23.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#
R2(config-if)#exit
R2(config-router)#exit
R2(config)#router rip
R2(config-router)#net 192.168.12.0
R2(config-router)#net 192.168.23.0
R2(config-router)#end
R3:
Router>en
Router#confi t
Router(config)#host R3
R3(config)#int s1/0
R3(config-if)#ip add 192.168.23.2 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#router rip
R3(config-router)#net 192.168.23.0
R3(config-router)#end
配置telnet:
R1(config)#enable password 123
R1(config)#line vty 0 4
R1(config-line)#password 123
R1(config-line)#login
R1(config-line)#exit
R1(config)#exit
R3(config)#enable password 123
R3(config)#line vty 0 4
R3(config-line)#password 123
R3(config-line)#login
R3(config-line)#end
測試:
R1#ping 192.168.23.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.23.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
R1#telnet 192.168.23.2
Trying 192.168.23.2 ... Open
User Access Verification
Password:
R3>en
Password:
R3:
R3#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
R3#telnet 192.168.12.1
Trying 192.168.12.1 ... Open
User Access Verification
Password:
R1>en
Password:
R1#
開始做時間訪問控制列表:
1. 定義時間:
R2(config)#time-range gongzuo
R2(config-time-range)#periodic weekdays 8:00 to 12:00
R2(config-time-range)#periodic weekdays 13:30 to 17:30
R2(config-time-range)#exit
2.定義時間ACL
R2(config)#access-list 100 permit tcp any any eq 25
R2(config)#access-list 100 permit tcp any any eq 110
R2(config)#access-list 100 permit udp any any eq 53
R2(config)#access-list 100 deny ip any any time-range gongzuo
R2(config)#access-list 100 permit ip any any
R2(config)#
3.放置時間ACL
R2(config)#int s1/0
R2(config-if)#ip access-group 100 out
R2(config-if)#
試驗完成
|
用time-range 命令來指定時間範圍的名稱,然後用absolute命令或者一個或者多個 periodic命令來具體定義時間範圍,IOS命令格式爲: time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm 每個命令和參數的詳細情況: time-range: 用來定義時間範圍的命令 time-range-name: 時間範圍名稱,用來標識時間範圍,以便於在後面的訪問列表中引用 absolute: 該命令用來指定絕對時間範圍。它後面緊跟這start和 end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制、hh:mm(小時:分鐘)表示,日期要按照日/月/年來表示。可以看到,他們兩個可以都省略。如果省略start及其後面的時間,那表示與之相聯繫的permit 或deny語句立即生效,並一直作用到end處的時間爲止;若省略如果省略end及其後面的時間,那表示與之相聯繫的permit 或deny語句在start處表示的時間開始生效,並且永遠發生作用,當然把訪問列表刪除了的話就不會起作用了。 上面講的就是命令和基本參數爲了便於理解,下面我們來看兩個例子。 如果要表示每天的早8點到晚8點就可以用這樣的語句: absolute start 8:00 end 20:00 再如,我們要使一個訪問列表從 absolute start 5:00 1 December 2000 end 24:00 31 December 2000 這樣一來,我們就可以用這種基於時間的訪問列表來實現,而不用半夜跑到辦公室去刪除那個訪問列表了,這對於網絡管理員來說應該是件好事吧。接下來,讓我們看下一個periodic命令及其參數。一個時間範圍只能有一個absolute語句,但是可以有幾個periodic語句。 periodic:主要是以星期爲參數來定義時間範圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合,也可以是daily(每天)、weekday(週一到週五)或者weekend(週末)。 我們還是來看幾個具體的例子。比如表示每週一到週五的早9點到晚10點半,就可以用: periodic weekday 9:00 to 22:30 每週一早7點到週二的晚8點就可以用: periodic Monday to Tuesday 20:00 例:在網絡中,路由器有兩個以太網接口E0和E1,分別連接着202.111.170.0和202.222.100.0兩個子網絡,其中202.111.170.50和202.222.100.100分別是WEB服務器1和WEB服務器2。還有一個串口S1,連入Internet。爲了讓202.111.170.0子網公司員工在工作時間不能進行WEB瀏覽,從 Router# config t Router(config)# interface ethernet 0 Router(config-if)#ip access-group Router(config-if)#time-range http Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31 December 2000 periodic Saturday 7:00 to Sunday 22:00 Router(config-if)#ip access-list 101 permit tcp any any eq 80 http |