分类:
2012-06-18 15:10:42
1.基于的列表
借助基于时间的访问列表,控制用户在某个时间段对访问的访问权限.
进入全局配置模式
Switch#conf t
指定的时间范围命名有一个有意义的名称.名称不能包括空格和引号,并且必须以字母开头.
Switch(config)#time-range time-range-name
指定时间范围
Switch(config-time-range)#absolute [start time date] [end time date]
或者
periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm
或者
periodic {weekdays | weekend | daily} hh:mm to hh:mm
Absolute: 指定绝对时间范围.该关键字之后紧跟着start和end关键字. 若使访问列表中相关的permit 或deny语名生效,则start和end之后应当紧跟开始和结束的时间.需要注意的是,时间以24小时格式表示,日期以(日/月/年"格式表示.
periodic:尽管每个时间范围只能有一下absolute语句,但是却可以有多个periodic语句。别外,absolute语句法只拥有 开始和结束时间,以及日期等少数几个参数,而periodic语句可以大量参数,范围可以是一星期中的某一天或几天的组合,或者关键字daily weekdays weekend 等。表12-1列出了在语句中可以出使用的每星期天数中的参数。
|
Monday, Tuesday, Wednesday, Thursday ,Friday, Saturday, Sunday |
某一天或某几天的组合 |
|
Daily |
从星期一至星期天 |
|
Weekend |
星期六和星期日 |
|
Weekdays |
从星期一至星期五 |
返回特权配置模式
Switch(config-time-range)#end
校验当前设置
Switch#show time-range
保存当前配置
copy running-config startup-config
借助基于时间的访问列表,可以控制用户在某个时间段的访问权限。
限制用户网络应用
普通用户使用“10.1.0.0/16" 段的IP地址,若要限制所有员工在周一至周五8:00~18:00使用QQ和MSN聊天,可以在访问列表中添加以下语名:
time-range deny-qq
----------定义时间范围名称为"deny-qq"
periodic weekdays start 8:00 end 18:00
---------时间范围为周一至周五的8:00~18:00
ip access-list extend internet_limit
deny tcp 10.1.0.0 0.0.255.255 eq 1863 time-range deny-qq
deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qq
deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq
deny udp 10.1.0.0 d0 0.255.255 any eq 8000 time-range deny-qq
deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range deny-qq
deny udp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq
----定义QQ和MSN聊天使用的协议和端口号
permit ip any any
其余访问不予限制
需要注意的是,网络应用程序所使用的端口号,大多都可以在下述文件中找到.
win9X:%windir%\services
winNT/2000/xp/2003:%windir%\system32\drivers\etc\services
linux:/etc/services
如果在services 文件中找不端口的应用,可以在运行程序后运行netstat-ap 比较并找出应用所使用的端口号
允许网络应用启用
为了保证在非工作时间没有用户从内部登陆到交换机,使交换机以太网口FE0/0 仅仅在星期一至星期五的上午9:00到下午5:00之间接收目的端口23(telnet)的TCP报文,而其他非工作时则一律禁止.
相关配如下:
interface fastethernet 0/0
ip access-group 101 in
-----将IP访问列表101应用至该端口
access-list 101 permit tcp any any eq telnet time-range nettel
-----设置IP访问列表101
time-range nettl
periodic weekdays 9:00 to 17:00
-----设置时间访问列表nettel
2.相关配置命令
时间访问列表相关配置命
