一����、前言
我們知道,隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化,從Cisco IOS12.0 開始,CISCO 路由器新增加了一種基于時(shí)間的訪問列表。通過它,可以根據(jù)一天中的不同時(shí)間,或者根據(jù)一星期中的不同日期,當(dāng)然也可以二者結(jié)合起來,控制對網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā),實(shí)現(xiàn)對網(wǎng)絡(luò)的安全保護(hù)��。
二����、使用方法
這種基于時(shí)間的訪問列表就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中加入有效的時(shí)間范圍來更合理有效的控制網(wǎng)絡(luò)。它需要先定義一個(gè)時(shí)間范圍,然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它�。并且,對于編號訪問表和名稱訪問表都適用。
三���、使用規(guī)則
用time-range命令來指定時(shí)間范圍的名稱,然后用absolute命令或者一個(gè)或多個(gè)peri-odic命令來具體定義時(shí)間范圍�。IOS 命令格式為:time-range time-range-name abso-lute [start time date] [end time date] pe-riodic days-of-the week hh:mm to [days-of-the week] hh:mm我們分別來介紹下每個(gè)命令和參數(shù)的詳細(xì)情況time-range:用來定義時(shí)間范圍的命令time-range-name:時(shí)間范圍名稱,用來標(biāo)識時(shí)間范圍,以便于在后面的訪問列表中引用absolute:該命令用來指定絕對時(shí)間范圍����。它后面緊跟這start和 end兩個(gè)關(guān)鍵字。 在這兩個(gè)關(guān)鍵字后面的時(shí)間要以24 小時(shí)制��、hh:mm(小時(shí):分鐘)表示,日期要按照日/ 月/ 年來表示���?����?梢钥吹?他們兩個(gè)可以都省略���。如果省略start及其后面的時(shí)間,那表示與之相聯(lián)系的permit 或deny語句立即生效,并一直作用到end 處的時(shí)間為止;若省略如果省略end及其后面的時(shí)間,那表示與之相聯(lián)系的permit或deny語句在start處表示的時(shí)間開始生效,并且永遠(yuǎn)發(fā)生作用,當(dāng)然把訪問列表刪除了的話就不會起作用了。
periodic:主要是以星期為參數(shù)來定義時(shí)間范圍的一個(gè)命令��。它的參數(shù)是Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一個(gè)或者幾個(gè)的組合,也可以是daily(每天)����、? weekday(周一到周五)或者weekend(周末)。注意:一個(gè)時(shí)間范圍只能有一個(gè)absolute語句,但是可以有幾個(gè)periodic語句?���,F(xiàn)在我們來看幾個(gè)例子。
(1)如果要表示每天的早8點(diǎn)到晚5點(diǎn)就可以用這樣的語句:
absolute start 8:00 end 17:00
(2)我們要使一個(gè)訪問列表從2003年1月1日早1點(diǎn)開始起作用,直到2003年1月31日晚24 點(diǎn)停止作用,語句如下:absolute start 1:00 1 January 2003end 24:00 31 January 2003
(3)表示每周一到周五的早9點(diǎn)到晚10點(diǎn)半,periodic weekday 9:00 to 22:30;我們已經(jīng)知道如何定義時(shí)間范圍,這樣一來,我們就可以用這種基于時(shí)間的訪問列表來實(shí)現(xiàn)網(wǎng)絡(luò)的安全控制,而不用半夜跑到辦公室去刪除那個(gè)訪問列表了����。這對于網(wǎng)絡(luò)管理員來說,是個(gè)很好的事情。下面讓我們看看如何在實(shí)際情況下應(yīng)用這種基于時(shí)間的訪問列表S1
192.168.1.0 E0
交換機(jī)
Internet
E1 192.168.2.0 E1
交換機(jī)
四�、 應(yīng)用實(shí)例
在如上圖所示的網(wǎng)絡(luò)中,路由器有兩個(gè)以太網(wǎng)接口E0 和E1,分別連接著192.168.1.0和192.168.2.0 兩個(gè)子網(wǎng)絡(luò)。還有一個(gè)串口
S1,連入Internet���。為了讓192.168.1.0 子網(wǎng)公司員工在工作時(shí)間(每周一到周五的早8點(diǎn)到晚5 點(diǎn))不能進(jìn)行WEB 瀏覽,只有在下班時(shí)間才可以通過公司的網(wǎng)絡(luò)訪問Internet(這樣就不用擔(dān)心某些人上班時(shí)間偷著聊天了)����。而對192.168.2.0 子網(wǎng)的公司員工不作上網(wǎng)限制,我們來做如下的基于時(shí)間的訪問控制列表來實(shí)現(xiàn)這樣的功能:
Router# config t
Router(config)# interface ethernet 0 進(jìn)入端口控制模式
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)# periodic weekday 8:00 to 5:00;
Router(config-if)#ip access-list 101? permit tcp any any eq 80 http
我們只需在一個(gè)擴(kuò)展訪問列表的基礎(chǔ)上再加上時(shí)間控制就達(dá)到了目的。因?yàn)槭且刂芖EB 訪問的協(xié)議,所以必須要用擴(kuò)展列表,也就是說,編號要在100-199 之間�。在第四句我們定義了這個(gè)時(shí)間范圍名稱是http,這樣,我們就可以在列表中的最后一句方便的引用了。
通過上面的方法,我們可以方便地利用路由器基于時(shí)間的訪問控制列表,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶對INTERNET 的訪問控制,從而有效地保護(hù)我們的內(nèi)部網(wǎng)絡(luò)����。
關(guān)鍵詞標(biāo)簽:路由器,Cisco IOS
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程