Chinaunix首页 | 论坛 | 博客
  • 博客访问: 539678
  • 博文数量: 120
  • 博客积分: 3991
  • 博客等级: 中校
  • 技术积分: 1113
  • 用 户 组: 普通用户
  • 注册时间: 2009-08-31 15:57
文章分类

全部博文(120)

文章存档

2011年(3)

2010年(6)

2009年(111)

我的朋友

分类: 系统运维

2009-10-27 19:44:16

基于时间的访问控制列表

了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。
  
  一、基于时间的访问控制列表用途:
  
  可能公司会遇到这样的情况,要求上班时间不能上QQ,下班可以上或者平时不能访问某网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的,这时基于时间的访问控制列表应运而生。
  
  二、基于时间的访问控制列表的格式:
  
  基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段,具体格式如下:
  
  time-range  时间段名称
  absolute start [小时:分钟] [日 月 年] [end] [小时:分钟] [日 月 年]
  
  例如:time-range softer
  absolute start 0:00 1 may 2005 end 12:00 1 june 2005
  
   意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。我 们通过这个时间段和扩展ACL的规则结合就可以指定出针对自己公司时间段开放的基于时间的访问控制列表了。当然我们也可以定义工作日和周末,具体要使用 periodic命令。

 实例

time-range softer  定义时间段名称为softer
  
  periodic weekend 00:00 to 23:59  定义具体时间范围,为每周周末(6,日)的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。
  
  access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer  设置ACL,禁止在时间段softer范围内访问172.16.4.13的FTP服务。
  
  access-list 101 permit ip any any  设置ACL,容许其他时间段和其他条件下的正常访问。
  
  int e 1  进入E1端口。
  
  ip access-group 101 out  宣告ACL101。
  
  基于时间的ACL比较适合于时间段的管理,通过上面的设置172.16.3.0的用户就只能在周末访问提供的FTP资源了,平时无法访问。

阅读(1433) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~