实验7-3 (ACL)基于时间的访问控制列表

曾巧文 发布于:2011-11-18 11:38 分类:计算机网络 标签: ACL

1.实验背景

某公司经理最近发现,有些员工在上班时间经常上网浏览与工作无关的网站,影响了工作,因此通知网络管理员,在网络上进行设置,在上班时间只允许浏览与工作相关的几个网站,禁止访问其它网站。基于时间对网络访问进行控制,提高网络的使用效率和安全性。

2.实验环境

7-5   基于时间的访问控制列表配置环境图

【实验设备】R2624R2620路由器1

本实验以lR2624路由器为例。PC机的IP地址和缺省网关型为172.16.1.0/24172.16.1.2/24,服务器(server)IP地址和缺省网关分别为160.16.1.1/24160.16.l.2/24,路由器的接口F0FlIP地址分别为172.16.1.2/24160.16.1.2/24

3.实验步骤

1) 在路由器上定义基于时间的访问控制列表,输入如下代码:

Router(config)#access-list 101 permit ip any host 160.16.1.1  //定义扩展访问列表,允许访问主机160.16.1.1
Router(config)#access-list l01 permit ip any any time-ranget1 time1 //关联time-range接口time1。允许在规定时间段访问任何网络
Router(config)#time-ranget1 time1 //定义time-range接口time1,定义时间段
Router(config-time-range)#absolute start 9:OO 1 oct 2007 end 17:00 30 dec 2020    //定义绝对时间
Router(config-time-range)#periodic daily O:00 to 9:00    !定义周期性时时间段(非上班时间)
Router(config-time-range)#periodic daily 17:OO to 23:59

验证测试:验证访问列表和time-range接口配置

Router#show access-lists   //显示所有访问列表配置
Extended IP access list lO1
permit ip any host 160.16.1.1
permlt ip any any
Router#show time-range    //显示time-range接口配置
time-range entry:time1
absolute start 09:OO 1 October 2007 end 17:00 30 December 2 020
periodic daily 00:00 to 09:00
periodic daily 17:OO to 23:59

2) 在接口上应用访问列表,输入如下代码:

Router(config)#interface fastethernet 1   //进入接口F1配置模式

Router(config-if)ip access-group lO1 out  //在接口F1的出方向上应用访问列表101

验证测试:验证接口上应用的访问列表

Router#show ip interface fastEthernet l
FastEthernetl is up.1ine protocol is up
Internet address is 160.16.1.2/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is i01    !显示在出口上应用了访问列表101
Inbound access list is not set
Proxy ARP is enabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP multicast fast switching is enabled
Router Discovery is disabled
IP output packet accounting is disabled
Ip access violation accounting is disabled
TCP/Ip header compression is disabled
Policy routing is disabled

3) 测试访问列表的效果,输入如下代码:

c:\>ping 160.16.1.1    //验证在工作时间可以访问服务器l 60.16.1.1

现在改变服务器的IP地址为160.16.1.5(或用另一台服务器),再输入如下代码

C:> ping 160.16.1.5    //验证在工作时间不能访问服务器160.16.1.5

以上结果显示目的不可访问。现在改变路由器的时钟到非工作时间2200,再输入如下代码:

C:\\>ping 160.16.1.5    //验证在非工作时间可以访问服务器160.16.1.5

4.注意事项

1) 在定义时间接口前须先校正系统时钟;

2)Time-range接口上允许配置多条periodic规则(周期时间段),在ACL进行匹配时,只要能匹配任一条periodic规则即认为匹配成功,而不是要求必须同时匹配多条periodic规则;

3)设置periodic规则时可以按以下日期段进行设置:day-of-the-week(星期几)Weekdays(工作日)Weekdays(周末,即周六和周日)Daily(每天)

4)Time-range接口上只允许配置一条absolute规则(绝对时间段)

5)Time-range允许abso1ute规则与periodic规则共存。此时,ACL必须首先匹配abso1ute规则,然后再匹配periodic规则。

版权所有:《曾巧文博客-关注互联网IT技术,记录生活点滴》 => 《实验7-3 (ACL)基于时间的访问控制列表
本文地址://qiaowen.net/post-1125.html
除非注明,文章均为 《曾巧文博客-关注互联网IT技术,记录生活点滴》 原创,欢迎转载!转载请注明本文地址,谢谢。

有 4588 人浏览,获得评论 0 条

发表评论:

Powered by emlog 粤ICP备12040901号

>>本作品采用-知识共享署名-非商业-禁止演绎-协议-进行许可 |站点地图 | | | | 开放分类目录 |