通過路由器實現用戶定時訪問網絡
出處:互聯網
出處:互聯網
一、前言
我們知道,隨着網絡的發展和用戶要求的變化,從Cisco IOS12.0 開始,CISCO 路由器新增加了一種基於時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,當然也可以二者結合起來,控制對網絡數據包的轉發,實現對網絡的安全保護。
二、使用方法
&nb
sp; 這種基於時間的訪問列表就是在原來的標準訪問列表和擴展訪問列表中加入有效的時間範圍來更合理有效的控制網絡。它需要先定義一個時間範圍,然後在原來的各種訪問列表的基礎上應用它。並且,對於編號訪問表和名稱訪問表都適用。
三、使用規則
用time-range命令來指定時間範圍的名稱,然後用absolute命令或者一個或多個peri-odic命令來具體定義時間範圍。IOS 命令格式爲:time-range time-range-name abso-lute [start time date] [end time date] pe-riodic days-of-the week hh:mm to [days-of-the week] hh:mm我們分別來介紹下每個命令和參數的詳細情況time-range:用來定義時間範圍的命令time-range-name:時間範圍名稱,用來標識時間範圍,以便於在後面的訪問列表中引用absolute:該命令用來指定絕對時間範圍。它後面緊跟這start和 end兩個關鍵字。 在這兩個關鍵字後面的時間要以24 小時制、hh:mm(小時:分鐘)表示,日期要按照日/ 月/ 年來表示。可以看到,他們兩個可以都省略。如果省略start及其後面的時間,那表示與之相聯繫的permit 或deny語句立即生效,並一直作用到end 處的時間爲止;若省略如果省略end及其後面的時間,那表示與之相聯繫的permit或deny語句在start處表示的時間開始生效,並且永遠發生作用,當然把訪問列表刪除了的話就不會起作用了。
periodic:主要是以星期爲參數來定義時間範圍的一個命令。它的參數是Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一個或者幾個的組合,也可以是daily(每天)、 weekday(週一到週五)或者weekend(週末)。注意:一個時間範圍只能有一個absolute語句,但是可以有幾個periodic語句。現在我們來看幾個例子。
(1)如果要表示每天的早8點到晚5點就可以用這樣的語句:
absolute start 8:00 end 17:00
absolute start 8:00 end 17:00
(2)我們要使一個訪問列表從2003年1月1日早1點開始起作用,直到2003年1月31日晚24 點停止作用,語句如下:absolute start 1:00 1 January 2003end 24:00 31 January 2003
(3)表示每週一到週五的早9點到晚10點半,periodic weekday 9:00 to 22:30;我們已經知道如何定義時間範圍,這樣一來,我們就可以用這種基於時間的訪問列表來實現網絡的安全控制,而不用半夜跑到辦公室去刪除那個訪問列表了。這對於網絡管理員來說,是個很好的事情。下面讓我們看看如何在實際情況下應用這種基於時間的訪問列表S1
192.168.1.0 E0
交換機
Internet
E1 192.168.2.0 E1
交換機
交換機
Internet
E1 192.168.2.0 E1
交換機
四、 應用實例
在如上圖所示的網絡中,路由器有兩個以太網接口E0 和E1,分別連接着192.168.1.0和192.168.2.0 兩個子網絡。還有一個串口
S1,連入Internet。爲了讓192.168.1.0 子網公司員工在工作時間(每週一到週五的早8點到晚5 點)不能進行WEB 瀏覽,只有在下班時間纔可以通過公司的網絡訪問Internet(這樣就不用擔心某些人上班時間偷着聊天了)。而對192.168.2.0 子網的公司員工不作上網限制,我們來做如下的基於時間的訪問控制列表來實現這樣的功能:
Router# config t
Router(config)# interface ethernet 0 進入端口控制模式
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)# periodic weekday 8:00 to 5:00;
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我們只需在一個擴展訪問列表的基礎上再加上時間控制就達到了目的。因爲是要控制WEB 訪問的協議,所以必須要用擴展列表,也就是說,編號要在100-199 之間。在第四句我們定義了這個時間範圍名稱是http,這樣,我們就可以在列表中的最後一句方便的引用了。
S1,連入Internet。爲了讓192.168.1.0 子網公司員工在工作時間(每週一到週五的早8點到晚5 點)不能進行WEB 瀏覽,只有在下班時間纔可以通過公司的網絡訪問Internet(這樣就不用擔心某些人上班時間偷着聊天了)。而對192.168.2.0 子網的公司員工不作上網限制,我們來做如下的基於時間的訪問控制列表來實現這樣的功能:
Router# config t
Router(config)# interface ethernet 0 進入端口控制模式
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)# periodic weekday 8:00 to 5:00;
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我們只需在一個擴展訪問列表的基礎上再加上時間控制就達到了目的。因爲是要控制WEB 訪問的協議,所以必須要用擴展列表,也就是說,編號要在100-199 之間。在第四句我們定義了這個時間範圍名稱是http,這樣,我們就可以在列表中的最後一句方便的引用了。
通過上面的方法,我們可以方便地利用路由器基於時間的訪問控制列表,實現內部網絡用戶對INTERNET 的訪問控制,從而有效地保護我們的內部網絡。