基于时间的访问控制列表

1、基于时间的访问控制列表【实验名称】 基于时间的访问控制列表【实验目的】 掌握基于时间段进行控制的IP访问列表配置。【背景描述】 某公司经理最近发现，有些员工在上班时间经常上网浏览与工作无关的网站，影响了工作，因此他通知网络管理员，在网络上进行设置，在上班时间只允许浏览与工作相关的几个网站，禁止访问其它网站。 本实验以1台S2126G交换机和1台R2624路由器为例。PC机的IP地址和缺省网关分别为172.16.1.1/24和172.16.1.2/24 ，服务器(Server)的IP地址和缺省网关分别为160.16.1.1/24和160.16.1.2/24 ，路由器的接口F0和F1的IP地址分别

2、为 172.16.1.2/24和160.16.1.2/24 。【实现功能】 基于时间对网络访问进行控制，提高网络的使用效率和安全性。【实验拓扑】 【实验设备】 S2126G（1台）、R2624(1台)【实验步骤】 第一步：在路由器上定义基于时间的访问控制列表Router(config)#acce ！定义扩展访问列表，允许访问主机Router(config)#access-list 100 permit ip any any time-range t1 ! 关联time-range接口t1，允许在规定时间段访问任何网络Router(config)#time-range t1 ！定义time-ra

3、nge接口t1 ，即定义时间段Router(config- time-range)#absolute start 8:00 1 oct 2004 end 18:00 30 dec 2020 ！定义绝对时间 Router(config- time-range)#periodic daily 0:00 to 8:00 ! 定义周期性时间段（非上班时间）Router(config- time-range)#periodic daily 17:00 to 23:59验证测试：验证访问列表和time-range接口配置Router# show access-lists ！显示所有访问列表配置Extend

4、ed IP access list 100 permit ip any anyRouter#show time-range ! 显示time-range接口配置time-range entry:t1 absolute start 08:00 1 October 2004 end 18:00 30 December 2020 periodic daily 00:00 to 08:00 periodic daily 17:00 to 23:59第二步：在接口上应用访问列表Router(config)# interface fastethernet 1 ! 进入接口F1配置模式Router(conf

5、ig-if)# ip access-group 100 out ! 在接口F1的出方向上应用访问列表100验证测试：验证接口上应用的访问列表Router#show ip interface fastEthernet 1FastEthernet1 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 100

6、！显示在出口上应用了访问列表100 Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled

7、IP multicast fast switching is enabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled Policy routing is disabled第三步：测试访问列表的效果C:>ping 160.16.1.1 ！验证在工作时间可以访问服务器160.16.1.1现在改变服务器的IP地址为160.16.1.5（或

8、用另一台服务器），再进行测试：C:>ping 160.16.1.5 ！验证在工作时间不能访问服务器160.16.1.5以上结果显示目的不可访问现在改变路由器的时钟到非工作时间22:00，再进行测试：C:>ping 160.16.1.5 ！【注意事项】l 在定义时间接口前须先校正系统时钟；l Time-range接口上允许配置多条periodic规则（周期时间段），在ACL进行匹配时，只要能匹配任一条periodic规则即认为匹配成功，而不是要求必须同时匹配多条periodic规则；l 设置periodic规则时可以按以下日期段进行设置：day-of-the-week（星期几）、We

9、ekdays（工作日）、Weekdays（周末，即周六和周日）、Daily（每天）；l Time-range接口上只允许配置一条absolute规则（绝对时间段）；l Time-range允许absolute规则与periodic规则共存，此时，ACL必须首先匹配absolute规则，然后再匹配periodic规则。 【参考配置】Switch#show running-config ! 显示交换机的全部配置Building configuration.Current configuration : 241 bytes!version 1.0!hostname SwitchAenable sec

10、ret level 1 5 $2/,|7zy3W&-/-ae4v'1'dfQ7+.tbcenable secret level 15 5 $2$Paein32Fbfjo43Q8cgkEQ4mdhl&!interface vlan 1 no shutdown!endRouter#show running-config ! 显示路由器的全部配置Current configuration:! Last configuration change at 14:41:32 UTC Wed Nov 3 2004! NVRAM config last updated at 14

11、:37:32 UTC Wed Nov 3 2004!version 6.14(2)!hostname "Router"!enable secret 5 $1$EN5L$wwHurnJ/4ZePTv7sUoAVP1!ip subnet-zero!time-range t1 absolute start 08:00 1 October 2004 end 18:00 30 December 2020 periodic daily 00:00 to 08:00 periodic daily 17:00 to 23:59interface FastEthernet0!interface FastEthernet1 ip access-group 100 out!interface FastEthernet2 no ip address shutdown!interface FastEthernet3 no ip address shutdown!interface Serial0 no ip address!interface Serial1 no ip