基于时间的ACLs应用.doc

基于时间的acl1.目的在下班时间允许指定的ip地址无限制上网,即做nat2.步骤2.1定义个时间段,在acl中会使用到这个时间段ciscoasa(config)# time-range tr1ciscoasa(config-time-range)# ?Time range configuration commands:absolute absolute time and dateexit Exit from time-range configuration modehelp Help for time-range configuration commandsno Negate a command or set its defaultsperiodic periodic time and dateciscoasa(config-time-range)# periodic ?trange mode commands/options:Friday FridayMonday MondaySaturday SaturdaySunday SundayThursday ThursdayTuesday TuesdayWednesday Wednesdaydaily Every day of the weekweekdays Monday thru Fridayweekend Saturday and Sundayciscoasa(config-time-range)# periodic weekdays ?trange mode commands/options:hh:mm Starting timeciscoasa(config-time-range)# periodic weekdays 17:15 ?trange mode commands/options:to ending day and timeciscoasa(config-time-range)# periodic weekdays 17:15 to 20:00 (这个时间段是指每天的17:15到20:00)（如果是想定义一个固定的时间段，就要把periodic关键字换成关键字absolute）这里要注意一个问题：1. absolute语句的使用：在使用absolute命令时，如果读者去掉了start或end日期，则当去掉开始日期时，与之相联系的permit或deny语句会立即产生作用；而当去掉的是结束日期时，则与之相联系的permit或deny语句会永远产生作用。这些情形可能都不是我们所希望的。因此，每一条语句的格式，以及每一个变量的输入方式都十分重要。为了说明absolute命令的使用方式，假设我们只在5:00 p.m.到7:00 a.m.之间允许HTTP流量，则可以使用absolute语句建立下面的时间范围：absolute start 17:00 end 07:00在本示例中，时间范围为每一天的5:00 p.m.到7:00 a.m.，除此之外没有其他的限制。这样，除非手工删除，该时间范围将一直保持有效。absolute语句只拥有开始和结束时间以及日期等少数几个参数。absolute命令的应用：现在我们假设这样一种情况：读者计划去度假，因此希望在7月1 9日的早上7 : 0 0自动删除时间范围产生的效果，而不用回到办公室去做这件工作。假设今天是6月1日，而读者希望该语句在下午5 : 0 0产生作用。则absolute语句将变成：absolute start 17:00 1 june 2000 end 07:00 19 july 20002.periodic语句的使用：一个时间范围 它可以有多个periodic语句，periodic语句允许使用大量的参数，其范围可以是一星期中的某一天、几天的结合，或者使用关键字Daily、Weekday和Weekdend等。表5 - 1列出了在periodic语句中可以使用的每星期中天数的参数。参数 意义Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday 某一天或某几天的结合Daily 从星期一到星期天Weekday 从星期一到星期五Weekend 星期六和星期日Periodic参数的应用：假设我们希望在周末（从星期六早上7:00到星期天晚上7:00）限制Web访问:periodic weedend 07:00 to 19:00注意，因为关键字weekend表示星期六和星期日，所以只要再指定开始时间和结束时间就可以了； 假设读者要指定从8:00 a.m.到5:00 p.m.（星期一到星期五）的时间范围:periodic weekday 8:00 to 17:00假设我们希望指定从7:00 a.m.到5:00 p.m.（一周中的每一天）的时间范围:periodic daily 7:00 to 17:00假设这样一种情形：时间范围为从星期六晚上5:00开始，结束于星期一的早上7:00:periodic weekend 17:00 to 24:00periodic monday 00:00 to monday 7:00或：periodic staurday 17:00 to monday 7:00尽管可以使用单个periodic语句作为多个periodic语句的替代语句，但只有时间段连续时才可以如此使用。例如，假设我们要在每个工作日的晚上11:00到午夜，以及在周末中，从星期六早上7:00到星期天的晚上8:00阻塞对Web服务器的访问。在这种情况下，我们就要使用多个periodic语句。另外一个注意事项是在一个time -范围命令中同时使用absolute和periodic语句。在这种情况下，只有在匹配绝对开始时间之后才匹配periodic语句。而且，如果已经超过了绝对结束时间，则periodic语句就不再进一步匹配。为了说明这个概念，假设要指定的时间范围为从星期六的早上8:00到星期日的下午5:00，日期为2000年6月1日到2000年的12月31日。要建立这样的时间段，首先要使用absolute语句来定义开始和结束日期。然后使用periodic语句来定义前面提到的周末时间段。这样， time-范围命令和absolute、periodic语句将如下所示：time-range allow-httpabsolute start 8:00 1 june 2000 end 17:00 31 december 2000periodic weekends 8:00 to 17:002.2定义个允许ip地址访问公网的aclciscoasa(config)# access-list acl_wmv extended permit ip host 27 any time-range tr12.3将这个acl应用到nat上ciscoasa(config)#nat (inside) 1 access-list acl_wmv基于时间的ACLs应用例:在每周工作时间段内禁止HTTP的数据流步骤如下:Switch# configure terminal!进入全局配置模式Switch(config)# time-range no-http!进入一个time-range名为no-http的配置模块Switch(config-time-range)# periodic weekdays 8:00 to 18:00!设置周期时间.这里指每周的星期一到星期五Switch(config-time-range)# exit!退回到上一级.即全局配置模式Switch(config)# ip access-list extended limit_udp!设置一个ACL名,并且进入这个ACL配置模块Switch(config-ext-nacl)# deny tcp any any eq www time-range no-http!在no-http这个周期时间内禁止所有的HTTP的数据流Switch(config)# interface fastEthernet 0/2!进入需要应用此ACL的接口Switch(config-if)# ip access-group limit_udp in!应用limit_udp限制Switch# show time-range!显示time-rangtime-range name: no-httpperiodic Weekdays 8:00 to 18:00Switch# show running-config!显示当前配置Building configuration.Current configuration : 669 bytes!version 1.0!no enable services web-serverhostname Switchvlan 1!ip access-list extended limit_udp deny tcp any any eq www time-range no-http!interface fastEthernet 0/2 ip access-group limit_udp in!interface vlan 1 no shutdown ip address 8 !ip default-gateway 0snmp-server community public rotime-range no-http periodic Weekdays 8:00 to 18:00!end例： 一、网络环境1、172.24.9.*是机房所有学生机；其他地址是校内地址；2、机房接入端交换机级联在2126G上，2126G通过光缆接入校园网；二、意图1、在time-range 101所定义的时间段内，拒绝所有源地址为172.24.9.*机器访问除上述校内地址列表以外的所有目的地址；2、在time-range 101所定义的时间段外，允许所有源地址为172.24.9.*机器访问任何地址；show runip access-list extended 101 permit ip 55 55 time-range 101 permit ip 55 host 26 time-range 101 permit ip 55 host 2 time-range 101 permit ip 55 host 93 time-range 101 permit ip 55 host 0 time-range 101 permit ip 55 host 8 time-range 101 permit ip 55 host 10 time-range 101 permit ip 55 host time-range 101 deny