在企业中,很多时候,需要控制网络行为,朋友经常诉苦,说单位的网络慢,员工在网络上玩游戏,炒股,耽误企业正常工作。其实时间 ACL 就可以解决这个问题。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

  下面我来针对朋友朋友企业,做个试验说来说时间 ACL 的使用

时间访问控制列表,主要是来限制企业内网用户,来访问外网权限

动态访问控制列表,主要是限制外网用户来访问内网用户权限

内网 企业路由 外网

R1-------S1/1-------S1/0--------R2--------S1/1--------S1/0-------R3

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />



基本网络环境的搭建:

R1:

Router#confi t

Router(config)#host R1

R1(config)#int s1/1

R1(config-if)#ip add 192.168.12.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#router rip

R1(config-router)#net 192.168.12.0

R1(config-router)#end

R3:

Router&gt;en

Router#confi t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#host R2

R2(config)#int s1/0

R2(config-if)#ip add 192.168.12.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#exit

R2(config-if)#int s1/1

R2(config-if)#ip add 192.168.23.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#

R2(config-if)#exit

R2(config-router)#exit

R2(config)#router rip

R2(config-router)#net 192.168.12.0

R2(config-router)#net 192.168.23.0

R2(config-router)#end

R3:

Router&gt;en

Router#confi t

Router(config)#host R3

R3(config)#int s1/0

R3(config-if)#ip add 192.168.23.2 255.255.255.0

R3(config-if)#no shut

R3(config-if)#exit

R3(config)#router rip

R3(config-router)#net 192.168.23.0

R3(config-router)#end

配置 telnet

R1(config)#enable password 123

R1(config)#line vty 0 4

R1(config-line)#password 123

R1(config-line)#login

R1(config-line)#exit

R1(config)#exit

R3(config)#enable password 123

R3(config)#line vty 0 4

R3(config-line)#password 123

R3(config-line)#login

R3(config-line)#end

测试:

R1#ping 192.168.23.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />12/17/28 ms

R1#telnet 192.168.23.2

Trying 192.168.23.2 ... Open

User Access Verification

Password:

R3&gt;en

Password:

R3:

R3#ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/26/44 ms

R3#telnet 192.168.12.1

Trying 192.168.12.1 ... Open

User Access Verification

Password:

R1&gt;en

Password:

R1#

开始做时间访问控制列表:

1. 定义时间:

R2(config)#time-range gongzuo

R2(config-time-range)#periodic weekdays 8:00 to 12:00

R2(config-time-range)#periodic weekdays 13:30 to 17:30

R2(config-time-range)#exit

2. 定义时间 ACL

R2(config)#access-list 100 permit tcp any any eq 25

R2(config)#access-list 100 permit tcp any any eq 110

R2(config)#access-list 100 permit udp any any eq 53

R2(config)#access-list 100 deny ip any any time-range gongzuo

R2(config)#access-list 100 permit ip any any

R2(config)#

3. 放置时间 ACL

R2(config)#int s1/0

R2(config-if)#ip access-group 100 out

R2(config-if)#

试验完成

本文出自 51CTO.COM技术博客

 
time-range 命令 来指定 时间 范围的名称,然后用absolute命令或者一个或者多个 periodic命令来具体定义时间范围,IOS命令格式为:
time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm


每个命令和参数的详细情况:

time-range: 用来定义时间范围的命令
time-range-name: 时间范围名称,用来标识时间范围,以便于在后面的 访问 列表中引用
absolute: 该命令用来指定绝对时间范围。它后面紧跟这start end两个关键字。在这两个关键字后面的时间要以24小时制、hh:mm(小时:分钟)表示,日期要按照日//年来表示。可以看到,他们两个可以都省略。如果省略start及其后面的时间,那表示与之相联系的permit deny 语句 立即生效,并一直作用到end处的时间为止;若省略如果省略end及其后面的时间,那表示与之相联系的permit deny语句在start处表示的时间开始生效,并且永远发生作用,当然把访问列表 删除 了的话就不会起作用了。

上面讲的就是命令和基本参数为了便于理解,下面我们来看两个例子。

如果要表示每天的早8点到晚8点就可以用这样的语句:

absolute start 8:00 end 20:00

再如,我们要使一个访问列表从2000121日早5点开始起作用,直到20001231日晚24点停止作用,语句如下:

absolute start 5:00 1 December 2000 end 24:00 31 December 2000

这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了,这对于 网络管理 员来说应该是件好事吧。接下来,让我们看下一个periodic命令及其参数。一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。

periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有MondayTuesdayWednesdayThursdayFridaySaturday Sun day 中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。

我们还是来看几个具体的例子。比如表示每周一到周五的早9点到晚10点半,就可以用:

periodic weekday 9:00 to 22:30

每周一早7点到周二的晚8点就可以用:

periodic Monday to Tuesday 20:00

例:在网络中, 路由器 有两个以太网接口E0E1,分别连接着202.111.170.0202.222.100.0两个子网络,其中202.111.170.50202.222.100.100分别是 WEB 服务器 1 WEB 服务 2。还有一个串口S1,连入Internet。为了让202.111.170.0子网公司员工在工作时间不能进行WEB浏览,从20001211点到20001231日晚24点这一个月中,只有在周六早7点到周日晚10点才可以通过公司的网络访问Internet。我们做如下的基于时间的访问控制列表来实现这样的 功能

Router# config t
Router(config)# interface ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31
December 2000 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http