Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1424908
  • 博文数量: 269
  • 博客积分: 3602
  • 博客等级: 中校
  • 技术积分: 4536
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-17 21:13
文章分类

全部博文(269)

文章存档

2014年(8)

2013年(139)

2012年(122)

分类:

2012-06-18 15:10:42

1.基于的列表

借助基于时间的访问列表,控制用户在某个时间段对访问的访问权限.

进入全局配置模式

Switch#conf t

指定的时间范围命名有一个有意义的名称.名称不能包括空格和引号,并且必须以字母开头.

Switch(config)#time-range time-range-name

指定时间范围

Switch(config-time-range)#absolute [start time date] [end time date]

或者

periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm

或者

periodic {weekdays | weekend | daily} hh:mm to hh:mm

Absolute: 指定绝对时间范围.该关键字之后紧跟着start和end关键字. 若使访问列表中相关的permit 或deny语名生效,则start和end之后应当紧跟开始和结束的时间.需要注意的是,时间以24小时格式表示,日期以(日/月/年"格式表示.

periodic:尽管每个时间范围只能有一下absolute语句,但是却可以有多个periodic语句。别外,absolute语句法只拥有 开始和结束时间,以及日期等少数几个参数,而periodic语句可以大量参数,范围可以是一星期中的某一天或几天的组合,或者关键字daily weekdays weekend 等。表12-1列出了在语句中可以出使用的每星期天数中的参数。

Monday, Tuesday, Wednesday, Thursday ,Friday, Saturday, Sunday

某一天或某几天的组合

Daily

从星期一至星期天

Weekend

星期六和星期日

Weekdays

从星期一至星期五

返回特权配置模式

Switch(config-time-range)#end

校验当前设置

Switch#show time-range

保存当前配置

copy running-config startup-config

借助基于时间的访问列表,可以控制用户在某个时间段的访问权限。

限制用户网络应用

普通用户使用“10.1.0.0/16" 段的IP地址,若要限制所有员工在周一至周五8:00~18:00使用QQ和MSN聊天,可以在访问列表中添加以下语名:

time-range deny-qq

----------定义时间范围名称为"deny-qq"

periodic weekdays start 8:00 end 18:00

---------时间范围为周一至周五的8:00~18:00

ip access-list extend internet_limit

deny tcp 10.1.0.0 0.0.255.255 eq 1863 time-range deny-qq

deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qq

deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq

deny udp 10.1.0.0 d0 0.255.255 any eq 8000 time-range deny-qq

deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range deny-qq

deny udp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq

----定义QQ和MSN聊天使用的协议和端口号

permit ip any any

其余访问不予限制

需要注意的是,网络应用程序所使用的端口号,大多都可以在下述文件中找到.

win9X:%windir%\services

winNT/2000/xp/2003:%windir%\system32\drivers\etc\services

linux:/etc/services

如果在services 文件中找不端口的应用,可以在运行程序后运行netstat-ap 比较并找出应用所使用的端口号

允许网络应用启用

为了保证在非工作时间没有用户从内部登陆到交换机,使交换机以太网口FE0/0 仅仅在星期一至星期五的上午9:00到下午5:00之间接收目的端口23(telnet)的TCP报文,而其他非工作时则一律禁止.

相关配如下:

interface fastethernet 0/0

ip access-group 101 in

-----将IP访问列表101应用至该端口

access-list 101 permit tcp any any eq telnet time-range nettel

-----设置IP访问列表101

time-range nettl

periodic weekdays 9:00 to 17:00

-----设置时间访问列表nettel

2.相关配置命令

时间访问列表相关配置命

阅读(840) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~