思科路由器--基于时间的访问列表控制
10-15 21:47:25
来源:http://www.qz26.com 网络基础知识 阅读:8910次
导读:这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。这对于网络治理员来说,是个很好的事情。假如你恰好是网管。。哇。。。什么也不要讲了,快回去好好配置吧:)。好了接下来,让我们接着看下一个periodic命令及其参数。一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有宾Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合,也可以是daily(天天)、 weekday(周一到周五)或者 weekend(周末)。我们还是看几个具体的例子。比如表示每周一到周五的早9点到晚10点半,就可以用periodic weekday 9:00 to 22:30;每周一早7点到周二的晚8点就可以用periodic Monday to Tuesday 20:00。好了,我们已经把这个时间范围如何定义弄清楚
思科路由器--基于时间的访问列表控制,标签:网络基础,计算机网络基础知识,http://www.qz26.com
这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。这对于网络治理员来说,是个很好的事情。假如你恰好是网管。。哇。。。什么也不要讲了,快回去好好配置吧:)。好了接下来,让我们接着看下一个periodic命令及其参数。一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有宾Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合,也可以是daily(天天)、 weekday(周一到周五)或者 weekend(周末)。
我们还是看几个具体的例子。比如表示每周一到周五的早9点到晚10点半,就可以用periodic weekday 9:00 to 22:30;每周一早7点到周二的晚8点就可以用periodic Monday to Tuesday 20:00。好了,我们已经把这个时间范围如何定义弄清楚了,下面让我们看看如何在实际情况下应用这种基于时间的访问列表。(看仔细记清楚哦)
三、应用实例
例1
在如上图所示的网络中,路由器有两个以太网接口E0和E1,分别连接着202.111.170.0和202.222.100.0两个子网络,其中202.111.170.50和202.222.100.100分别是WEB服务器1和WEB服务器2。还有一个串口S1,连入Internet。为了让202.111.170.0子网公司员工在工作时间不能进行WEB浏览,从2000年12月1日1点到2000年12月31日晚24点这一个月中,只有在周六早7点到周日晚10点才可以通过公司的网络访问Internet(只有周末才可以访问哦。这样就不用担心某些人上班时间偷着聊天咯)。我们来做如下的基于时间的访问控制列表来实现这样的功能:
Router# config t
Router(config)# interface ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31
December 2000 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我们是在一个扩展访问列表的基础上再加上时间控制就达到了目的。
因为是要控制WEB访问的协议,所以必须要用扩展列表,也就是说,编号要在100-199之间。这些关于访问列表的基础知识,请参考其他关于Cisco或者CCNA的基础文档。我们定义了这个时间范围名称是http,这样,我们就在列表中的最后一句方便的引用了。有了以上的具体讲解,这个很好看懂了。我们再看下面一个例子。
例2:网络结构同上例,现在假设我们的访问要求变了,服务器WEB2(IP:202.222.100.100)上放着的是新年贺岁版的公司主页,我们希望在2001年12月31日24:00点前,Internet的用户访问的是服务器WEB1(IP:202.111.170.50)上的主页内容,而不能访问WEB2上的内容。在此之后的新年里,访问的是新年版主页而不能访问旧版本的主页。那么,我们利用带有时间控制的访问列表来自动实现这个功能,而不用网络治理员再到新年半夜来手动删除(安心在家看春节联欢晚会吧^&^)。列表内容如下:
Router# config t
Router(config)#interface serial 0
Router(config-if)#ip access-group web in
Router(config-if)#
time-range changewebabsolute end 24:00 31 December 2000
Router(config-if)#ip access-list extended web
permit tcp any host 202.111.170.50 eq 80 changeweb
deny tcp any host 202.222.100.100 eq 80 changeweb
permit tcp any host 202.222.100.100 eq 80
好了,我们分析下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表web,并且是用在Serial 0 的入口方向,就是数据流入路由器的时候做协议控制分析。第三句,定义一个时间范围名称是changeweb。第四句是定义扩展名称访问列表web。第五、六句是表示在新年前,只能答应访问WEB1。第七句是答应所有到WEB2的web访问。这样第七句不是在没有时间限制的情况下全部答应了WEB2的访问吗?那我们的目的是如何实现的呢?不要忘记,路由器中访问控制列表的每个表项的顺序是很重要的,它是从上到下执行的,这样,在新年之前,也就是第五、六句起左右的时候,访问WEB2的要求已经被禁止了,所以,第七句就没有用了,而在新年之后呢,第五、六句失效了,第七句才发挥它的作用。答应所有对WEB2的访问请求,那么,新年之后,还能访问WEB1服务器吗?当然不能,因为我们第七句只答应访问WEB2,隐含的意思就是,其余的全部禁止。
看到这儿,你不是觉的您的想法都被CISCO路由器实现了? 合理有效的利用基于时间的访问控制列表,可以更有效更安全更方便的保护我们的内部网络。这样你的网络才会更安全,网络治理员也会更轻松!
这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。这对于网络治理员来说,是个很好的事情。假如你恰好是网管。。哇。。。什么也不要讲了,快回去好好配置吧:)。好了接下来,让我们接着看下一个periodic命令及其参数。一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有宾Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合,也可以是daily(天天)、 weekday(周一到周五)或者 weekend(周末)。
我们还是看几个具体的例子。比如表示每周一到周五的早9点到晚10点半,就可以用periodic weekday 9:00 to 22:30;每周一早7点到周二的晚8点就可以用periodic Monday to Tuesday 20:00。好了,我们已经把这个时间范围如何定义弄清楚了,下面让我们看看如何在实际情况下应用这种基于时间的访问列表。(看仔细记清楚哦)
三、应用实例
例1
在如上图所示的网络中,路由器有两个以太网接口E0和E1,分别连接着202.111.170.0和202.222.100.0两个子网络,其中202.111.170.50和202.222.100.100分别是WEB服务器1和WEB服务器2。还有一个串口S1,连入Internet。为了让202.111.170.0子网公司员工在工作时间不能进行WEB浏览,从2000年12月1日1点到2000年12月31日晚24点这一个月中,只有在周六早7点到周日晚10点才可以通过公司的网络访问Internet(只有周末才可以访问哦。这样就不用担心某些人上班时间偷着聊天咯)。我们来做如下的基于时间的访问控制列表来实现这样的功能:
Router# config t
Router(config)# interface ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31
December 2000 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我们是在一个扩展访问列表的基础上再加上时间控制就达到了目的。
因为是要控制WEB访问的协议,所以必须要用扩展列表,也就是说,编号要在100-199之间。这些关于访问列表的基础知识,请参考其他关于Cisco或者CCNA的基础文档。我们定义了这个时间范围名称是http,这样,我们就在列表中的最后一句方便的引用了。有了以上的具体讲解,这个很好看懂了。我们再看下面一个例子。
例2:网络结构同上例,现在假设我们的访问要求变了,服务器WEB2(IP:202.222.100.100)上放着的是新年贺岁版的公司主页,我们希望在2001年12月31日24:00点前,Internet的用户访问的是服务器WEB1(IP:202.111.170.50)上的主页内容,而不能访问WEB2上的内容。在此之后的新年里,访问的是新年版主页而不能访问旧版本的主页。那么,我们利用带有时间控制的访问列表来自动实现这个功能,而不用网络治理员再到新年半夜来手动删除(安心在家看春节联欢晚会吧^&^)。列表内容如下:
Router# config t
Router(config)#interface serial 0
Router(config-if)#ip access-group web in
Router(config-if)#
time-range changewebabsolute end 24:00 31 December 2000
Router(config-if)#ip access-list extended web
permit tcp any host 202.111.170.50 eq 80 changeweb
deny tcp any host 202.222.100.100 eq 80 changeweb
permit tcp any host 202.222.100.100 eq 80
好了,我们分析下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表web,并且是用在Serial 0 的入口方向,就是数据流入路由器的时候做协议控制分析。第三句,定义一个时间范围名称是changeweb。第四句是定义扩展名称访问列表web。第五、六句是表示在新年前,只能答应访问WEB1。第七句是答应所有到WEB2的web访问。这样第七句不是在没有时间限制的情况下全部答应了WEB2的访问吗?那我们的目的是如何实现的呢?不要忘记,路由器中访问控制列表的每个表项的顺序是很重要的,它是从上到下执行的,这样,在新年之前,也就是第五、六句起左右的时候,访问WEB2的要求已经被禁止了,所以,第七句就没有用了,而在新年之后呢,第五、六句失效了,第七句才发挥它的作用。答应所有对WEB2的访问请求,那么,新年之后,还能访问WEB1服务器吗?当然不能,因为我们第七句只答应访问WEB2,隐含的意思就是,其余的全部禁止。
看到这儿,你不是觉的您的想法都被CISCO路由器实现了? 合理有效的利用基于时间的访问控制列表,可以更有效更安全更方便的保护我们的内部网络。这样你的网络才会更安全,网络治理员也会更轻松!
Tag:网络基础知识,网络基础,计算机网络基础知识,电脑培训学习 - 网络知识 - 网络基础知识
下一条:优化升级:宽带接入网的最实际挑战