用路由器实现用户定时访问网络
1、前言
咱们知道,随着网络的发展和用户要求的变化,从Cisco IOS12.0 开始,CISCO 路由器新增长了一种基于时间的访问列表。经过它,能够根据一天中的不一样时间,或者根据一星期中的不一样日期,固然也能够两者结合起来,控制对网络数据包的转发,实现对网络的安全保护。
2、使用方法
这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它须要先定义一个时间范围,而后在原来的各类访问列表的基础上应用它。而且,对于编号访问表和名称访问表都适用。
3、使用规则
用time-range命令来指定时间范围的名称,而后用absolute命令或者一个或多个peri-odic命令来具体定义时间范围。IOS 命令格式为:time-range time-range-name abso-lute [start time date] [end time date] pe-riodic days-of-the week hh:mm to [days-of-the week] hh:mm咱们分别来介绍下每一个命令和参数的详细状况time-range:用来定义时间范围的命令time-range-name:时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用absolute:该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。 在这两个关键字后面的时间要以24 小时制、hh:mm(小时:分钟)表示,日期要按照日/ 月/ 年来表示。能够看到,他们两个能够都省略。若是省略start及其后面的时间,那表示与之相联系的permit 或deny语句当即生效,并一直做用到end 处的时间为止;若省略若是省略end及其后面的时间,那表示与之相联系的permit或deny语句在start处表示的时间开始生效,而且永远发生做用,固然把访问列表删除了的话就不会起做用了。
periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数是Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合,也能够是daily(天天)、 weekday(周一到周五)或者weekend(周末)。注意:一个时间范围只能有一个absolute
语句,可是能够有几个periodic语句。如今咱们来看几个例子。
(1)若是要表示天天的早8点到晚5点就能够用这样的语句:
absolute start 8:00 end 17:00
(2)咱们要使一个访问列表从2003年1月1日早1点开始起做用,直到2003年1月31日
晚24 点中止做用,语句以下:absolute start 1:00 1 January 2003end 24:00 31 January 2003
(3)表示每周一到周五的早9点到晚10点半,periodic weekday 9:00 to 22:30;咱们已经知道如何定义时间范围,这样一来,咱们就能够用这种基于时间的访问列表来实现网络的安全控制,而不用半夜跑到办公室去删除那个访问列表了。这对于网络管理员来讲,是个很好的事情。下面让咱们看看如何在实际状况下应用这种基于时间的访问列表
S1
192.168.1.0 E0
交换机
Internet
E1 192.168.2.0 E1
交换机
4、 应用实例
在如上图所示的网络中,路由器有两个以太网接口E0 和E1,分别链接着192.168.1.0和192.168.2.0 两个子网络。还有一个串口
S1,连入Internet。为了让192.168.1.0 子网公司员工在工做时间(每周一到周五的早8点到晚5 点)不能进行WEB 浏览,只有在下班时间才能够经过公司的网络访问Internet(这样就不用担忧某些人上班时间偷着聊天了)。而对192.168.2.0 子网的公司员工不做上网限制,咱们来作以下的基于时间的访问控制列表来实现这样的功能:
Router# config t
Router(config)# interface ethernet 0 进入端口控制模式
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)# periodic weekday 8:00 to 5:00;
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
咱们只需在一个扩展访问列表的基础上再加上时间控制就达到了目的。由于是要控制WEB 访问的协议,因此必需要用扩展列表,也就是说,编号要在100-199 之间。在第四句咱们定义了这个时间范围名称是http,这样,咱们就能够在列表中的最后一句方便的引用了。
经过上面的方法,咱们能够方便地利用路由器基于时间的访问控制列表,实现内部网络用户对INTERNET 的访问控制,从而有效地保护咱们的内部网络。