基于时间的访问控制列表
Cisco的访问控制列表分为标准访问控制列表和扩展访问控制列表。
标准访问控制列表检查数据包里的源地址通自己定义的条件进行匹配,一旦匹配对所有的协议生效。
扩展反问控制列表检查数据包里的源、目标地址、协议、端口号与自己定义的条件进行匹配,对制定的协议生效。
以上都是大家知道的,在此就不在罗嗦!
但是,一旦我们在接口应用的访问控制列表后,除非我们把它删除,否则一直生效。(24小时生效)
下面向大家介绍一种基于时间生效的访问控制列表。(只在指定的时间内生效)
首先,你需要设定路由器的时间:
#clock set {hh:mm:ss} {data} {month} {year}
其次,建立一个让列表生效的区间:
(config)#time-range {time-range-name}
"time-range-name"为 时间区间的名字,自定义,以便于在后面的访问列表中引用。
(config-range)#absolute start {hh:mm data month year} end {hh:mm data month year}
该指令用于建立一个时间的区间范围。
(config-range)#periodic {星期范围} {时间} to {星期范围} {时间}
该指令主要用星期来定义时间的范围。
星期范围:Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sundday、daily(每天)、weekday(周一到周五)、weekend(周末)
例:定义一个每天早9点到下午5点
periodic daily 9:00 to 17:00
定义一个每周四早上9点到周五下午5点
periodic thursday 9:00 to friday 17:00
最后,将时间范围应用的访问列表中:
(config)#access-list access-list-number {permit|deny} protocol source source-wildcard destination destination-wildcard [ operator port ] [time-range time-range-name]
举例:
每个工作日的上班时间内不允许员浏览网页。
(config)#time-range deny_http
(config-range)#periodic daily 9:00 to 17:00
(config)#access-list 101 deny tcp any any eq http time-range deny_http
(config)#access-list 101 permit ip any any
(config)#int s0/0
(config-if)#ip access-group 101 out
阅读(384) | 评论(0) | 转发(0) |
