发布日期:2015-10-08 09:26 来源: 标签: 网络技术教程 网络实验教程 时间访问控制 访问控制列表
本章节我们将学习基于时间的访问控制列表,通过本章的学习希望大家能够掌握基于时间对网络进行访问控制,提高网络的使用效率和安全性。

实验名称:基于时间的访问控制列表。

实验目的:掌握基于时间对网络进行访问控制,提高网络的使用效率和安全性。

实现功能:基于时间段对网络进行访问控制的IP访问控制列表的配置。

实验设备:R1762路由器一台,直连线或交叉线二根。

实验拓朴:


实验步骤:1. router1基本配置。

Router(config)#interface fastethernet 1/0

Router(config-if)#ip address 172.16.1.1 255.255.255.0 

Router(config-if)#no shutdown

Router(config)#interface fastethernet 1/1

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#no shutdown

Router#show ip interface brief !查看路由器接口的状态。

Interface                        IP-Address(Pri)      OK?       Status

serial 1/2                       no address           YES       DOWN

serial 1/3                       no address           YES       DOWN

serial 2/0                       no address           YES       DOWN

serial 2/1                       no address           YES       DOWN

FastEthernet 1/0                 172.16.1.1/24        YES       UP

FastEthernet 1/1                 192.168.1.1/24       YES       UP

Null 0                           no address           YES       UP

2.配置路由器的时钟。

Router#show clock 

clock: 2008-1-13 2:0:25

Router#clock set 12:40:08 15 april 2007 ! 设置路由器的时钟。

3.定义时间段。

Router(config)#time-range freetime   Router(config-time-range)#absolute start 8:00 1 jan 2008 end 18:00 31 dec 2010  

!定义绝对时间段。

Router(config-time-range)#periodic daily 0:00 to 8:00  ! 定义周期性时间段

Router(config-time-range)#periodic daily 17:00 to 23:59 

 ! 定义周期性时间段,此处不能写24:00。

Router#show time-range freetime ! 查看时间段配置。

time-range entry: freetime (inactive)

  absolute start 08:00 01 January 2008 end 18:00 31 December 2010

  periodic Daily 0:00 to 8:00

  periodic Daily 17:30 to 23:59

4.定义访问控制列表规则。

Router(config)#access-list 100 permit ip any host 192.168.1.2 

 !定义扩展访问控制列表,允许访问主机192.168.1.2。

Router(config)#access-list 100 permit ip any any time-range freetime 

 !允许在规定的时间段访问任何网络。

Router#show access-lists 100

Extended IP access list 100 includes 2 items:

    permit ip any host 192.168.1.2

    permit ip any any time-range freetime (inactive)

5. 在接口下应用访问控制列表。

Router(config)#inter fa 1/0

Router(config-if)ip access-group 100  in

Router#show ip interface fa 1/0

FastEthernet 1/0

  IP interface state is: DOWN

  IP interface type is: BROADCAST

  IP interface MTU is: 1500

  IP address is:

    172.16.1.1/24 (primary)

  IP address negotiate is: OFF

  Forward direct-boardcast is: ON

  ICMP mask reply is: ON

  Send ICMP redirect is: ON

  Send ICMP unreachabled is: ON

  DHCP relay is: OFF

  Fast switch is: ON

  Route horizontal-split is: ON

  Help address is: 0.0.0.0

  Proxy ARP is: ON

  Outgoing access list is not set.

  Inbound access list is 100.

6. 配置WEB服务器(IP:192.168.1.2)(参见局域网实验)

7.验证测试。(把路由器的时间分别修改上班时间和非上班时间对WEB服务器(192.168.1.2)进行访问,此时都能访问WEB服务器。再把WEB服务器IP更换为192.168.1.5,这时,上班时间不能访问,但非上班时间可以访问。请读者自己测试。)

注意事项:1.要校正路由器的系统时钟。

2Time-range接口上允许配置一条absolute规则和多条periodic规则。规则匹配时只要匹配任意一条就认为匹配成功。ACL先匹配absolute规则然后匹配periodic规则。

相关评论

专题信息
    网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。本教程从交换机、路由器、防火墙、网络安全四个方面来讲解了一些实例。