時間訪問控制列表管理企業網絡行爲

在企業中，很多時候，需要控制網絡行爲，朋友經常訴苦，說單位的網絡慢，員工在網絡上玩遊戲，炒股，耽誤企業正常工作。其實時間ACL就可以解決這個問題。

  下面我來針對朋友朋友企業，做個試驗說來說時間ACL的使用

時間訪問控制列表，主要是來限制企業內網用戶，來訪問外網權限

動態訪問控制列表，主要是限制外網用戶來訪問內網用戶權限

內網 企業路由 外網

R1-------S1/1-------S1/0--------R2--------S1/1--------S1/0-------R3

基本網絡環境的搭建：

R1:

Router#confi t

Router(config)#host R1

R1(config)#int s1/1

R1(config-if)#ip add 192.168.12.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#router rip

R1(config-router)#net 192.168.12.0

R1(config-router)#end

R3:

Router>en

Router#confi t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#host R2

R2(config)#int s1/0

R2(config-if)#ip add 192.168.12.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#exit

R2(config-if)#int s1/1

R2(config-if)#ip add 192.168.23.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#

R2(config-if)#exit

R2(config-router)#exit

R2(config)#router rip

R2(config-router)#net 192.168.12.0

R2(config-router)#net 192.168.23.0

R2(config-router)#end

R3:

Router>en

Router#confi t

Router(config)#host R3

R3(config)#int s1/0

R3(config-if)#ip add 192.168.23.2 255.255.255.0

R3(config-if)#no shut

R3(config-if)#exit

R3(config)#router rip

R3(config-router)#net 192.168.23.0

R3(config-router)#end

配置telnet：

R1(config)#enable password 123

R1(config)#line vty 0 4

R1(config-line)#password 123

R1(config-line)#login

R1(config-line)#exit

R1(config)#exit

R3(config)#enable password 123

R3(config)#line vty 0 4

R3(config-line)#password 123

R3(config-line)#login

R3(config-line)#end

測試：

R1#ping 192.168.23.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/17/28 ms

R1#telnet 192.168.23.2

Trying 192.168.23.2 ... Open

User Access Verification

Password:

R3>en

Password:

R3:

R3#ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/26/44 ms

R3#telnet 192.168.12.1

Trying 192.168.12.1 ... Open

User Access Verification

Password:

R1>en

Password:

R1#

開始做時間訪問控制列表：

1. 定義時間：

R2(config)#time-range gongzuo

R2(config-time-range)#periodic weekdays 8:00 to 12:00

R2(config-time-range)#periodic weekdays 13:30 to 17:30

R2(config-time-range)#exit

2.定義時間ACL

R2(config)#access-list 100 permit tcp any any eq 25

R2(config)#access-list 100 permit tcp any any eq 110

R2(config)#access-list 100 permit udp any any eq 53

R2(config)#access-list 100 deny ip any any time-range gongzuo

R2(config)#access-list 100 permit ip any any

R2(config)#

3.放置時間ACL

R2(config)#int s1/0

R2(config-if)#ip access-group 100 out

R2(config-if)#

試驗完成

本文出自 51CTO.COM技術博客

 

用time-range 命令來指定時間範圍的名稱，然後用absolute命令或者一個或者多個 periodic命令來具體定義時間範圍，IOS命令格式爲：
time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm


每個命令和參數的詳細情況：

time-range： 用來定義時間範圍的命令
time-range-name： 時間範圍名稱，用來標識時間範圍，以便於在後面的訪問列表中引用
absolute： 該命令用來指定絕對時間範圍。它後面緊跟這start和 end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制、hh:mm（小時：分鐘）表示，日期要按照日/月/年來表示。可以看到，他們兩個可以都省略。如果省略start及其後面的時間，那表示與之相聯繫的permit 或deny語句立即生效，並一直作用到end處的時間爲止；若省略如果省略end及其後面的時間，那表示與之相聯繫的permit 或deny語句在start處表示的時間開始生效，並且永遠發生作用，當然把訪問列表刪除了的話就不會起作用了。

上面講的就是命令和基本參數爲了便於理解，下面我們來看兩個例子。

如果要表示每天的早8點到晚8點就可以用這樣的語句：

absolute start 8:00 end 20:00

再如，我們要使一個訪問列表從2000年12月1日早5點開始起作用，直到2000年12月31日晚24點停止作用，語句如下：

absolute start 5:00 1 December 2000 end 24:00 31 December 2000

這樣一來，我們就可以用這種基於時間的訪問列表來實現，而不用半夜跑到辦公室去刪除那個訪問列表了，這對於網絡管理員來說應該是件好事吧。接下來，讓我們看下一個periodic命令及其參數。一個時間範圍只能有一個absolute語句，但是可以有幾個periodic語句。

periodic：主要是以星期爲參數來定義時間範圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合，也可以是daily（每天）、weekday（週一到週五）或者weekend（週末）。

我們還是來看幾個具體的例子。比如表示每週一到週五的早9點到晚10點半，就可以用：

periodic weekday 9:00 to 22:30

每週一早7點到週二的晚8點就可以用：

periodic Monday to Tuesday 20:00

例：在網絡中，路由器有兩個以太網接口E0和E1，分別連接着202.111.170.0和202.222.100.0兩個子網絡，其中202.111.170.50和202.222.100.100分別是WEB服務器1和WEB服務器2。還有一個串口S1，連入Internet。爲了讓202.111.170.0子網公司員工在工作時間不能進行WEB瀏覽，從2000年12月1日1點到2000年12月31日晚24點這一個月中，只有在週六早7點到週日晚10點纔可以通過公司的網絡訪問Internet。我們做如下的基於時間的訪問控制列表來實現這樣的功能：

Router# config t
Router(config)# interface ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31
December 2000 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http