任务21：配置出口路由器安全,限制访问互联网服务及时间.ppt

LOGO 任务21 配置出口路由器， 限制访问互联网服务及时间 网络设备安装与调试技术 目录 一、任务描述 二、任务分析 三、知识准备 21.1 基于时间访问控制列表技术 21.2 定义基于时间访问控制列表规则 四、任务实施 21.6 综合实训：配置出口路由器，限制访问互联网 服务及时间 知识拓展 认证测试 任务描述 浙江科技工程学校需要改造网络中心的网络，为了实现学校内 部网络接入外部互联网，使用高功效的路由器设备充当外网接入设 备，实现校园网中接入互联网，实现不同网络之间互相通讯。 但学校在管理的过程中发现，经常在正常上课期间，有很多学 生在上网、聊天、打游戏；为了加强学校网络的管理，学校上班制 度规定：在上班时间（9：0018：00），不允许多媒体机房中的学 生计算机（如：172.16.1.0/24、172.16.2.0/24、 172.16.3.0/24）访问Internet，下班时间则可以访问 Internet上的Web服务。 。 任务分析 基于时间的ACL访问控制列表技术，是在标准ACL访问控制列表 和扩展ACL访问控制列表基础上功能的扩展，通过在规则配置中， 加入有效的时间范围，来更有效地控制网络在时间上限制范围。 本例中，为了加强学校网络的管理，保证在上班时间期间，不 允许允许多媒体机房中的学生计算机访问互联网，首先需要定义上 班时间段；其次，编制基于编号的扩展的IP ACL规则，要求办公网 172.16.1.0/24内的主机访问Internet，在此规则中引用了一个时 间段“off-work”，也就是说只有在此时间段定义的时间范围内此 条规则才会生效。最后将此ACL应用到了内部接口的入方向以实现 过滤。 知识准备 21.1 基于时间访问控制列表技术 基于时间的ACL访问控制列表技术，是在标准ACL访问控制列表 和扩展ACL访问控制列表基础上功能的扩展，通过在规则配置中， 加入有效的时间范围，来更有效地控制网络在时间上限制范围。 时间的ACL需要先定义一个时间范围，然后在原来各种访问控制 列表的基础上应用它；通过它，可以根据一天中不同时间，或者根 据一周中的不同日期控制网络范围。 知识准备 21.2 定义基于时间访问控制列表规则 1、创建时间段 创建基于时间的ACL，需要依据二个要点： 一是使用参数time-range，定义一个时间段； 二是编制基于编号IP ACL或者名称IP ACL； 再将IP ACL规则和时间段结合起来应用。 知识准备 21.2 定义基于时间访问控制列表规则 时间段可分为两种类型：绝对（absolute）时间段、周期（ periodic）时间段和混合时间段： 绝对时间段：表示一个时间范围，即从某时刻开始到某时刻结 束，如1月5日早晨8点到3月6日早晨8点。 周期时间段：表示一个时间周期，如每天早晨8点到晚上6点， 或每周一到每周五的早晨8点到晚上6点。 混合时间段：可以将绝对时间段与周期时间段结合起来，称为 混合时间段，如1月5日到3月6日每周一至周五早晨8点到晚上6点。 知识准备 21.2 定义基于时间访问控制列表规则 在全局模式下，使用如下命令创建并配置时间段，当执行此命 令后，系统将进入到时间段配置模式。 time-range time-range-name ！ time-range-name表示时间段的名称 2、定义时间段 在时间段模式下，使用“absolute”命令，配置绝对时间段： absolute start time date end time date | end time date ！在时间段配置模式下，定义绝对时间段 知识准备 21.2 定义基于时间访问控制列表规则 在时间段模式下，使用“periodic”命令，配置相对周期时间 段： periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm ！在时间段配置模式下，定义相对时间段 知识准备 21.2 定义基于时间访问控制列表规则 3、应用时间段 配置完时间段后，在编制完成的IP ACL规则中，需要使用 “time-range”参数引用时间段后才会生效。 只有配置了time-range的规则才会在指定的时间段内生效，其 他未引用时间段的规则将不受影响。 时间段和基于编号标准的IP ACL结合如下： Access-list list-number permit | deny source- address wildcardmask time-range name 任务实施 【网络场景】 如图所示的网络场景，是网络中心的网络使用高功效的路由 器设备充当外网接入设备，实现校园网中接入互联网，实现不同网 络之间互相通讯。 为了加强学校网络的管理，学校上班制度规定：在上班时间 （9：0018：00），不允许多媒体机房中的学生计算机访问 Internet，因此需要在学校的出口路由器上实施基于时间的标准访 问控制列表规则。 。 任务实施 【网络场景】 。 任务实施 【设备清单】：路由器（1台）；网线（若干根）；测 试PC（2台）。 【实施过程】 步骤一：连接设备 步骤二：配置路由器设备的基本信息 步骤三：配置出口路由器时间访问控制列表规则 步骤四