基于时间的访问控制列表.doc

基于时间的访问控制列表【实验名称】基于时间的访问控制列表【实验目的】掌握基于时间段进行控制的IP访问列表配置。【背景描述】某公司经理最近发现,有些员工在上班时间经常上网浏览与工作无关的网站,影响了工作,因此他通知网络管理员,在网络上进行设置,在上班时间只允许浏览与工作相关的几个网站,禁止访问其它网站。本实验以1台S2126G交换机和1台R2624路由器为例。.,服务器(Server).,.。【实现功能】基于时间对网络访问进行控制,提高网络的使用效率和安全性。【实验拓扑】【实验设备】S2126G(1台)、R2624(1台)【实验步骤】第一步:在路由器上定义基于时间的访问控制列表Router(config)#access-   !定义扩展访问列表,(config)#access-list100permitipanyanytime-ranget1 !关联time-range接口t1,允许在规定时间段访问任何网络Router(config)#time-ranget1  !定义time-range接口t1,即定义时间段Router(config-time-range)#absolutestart8:001oct2004end18:0030dec2020  !定义绝对时间Router(config-time-range)#periodicdaily0:00to8:00  !定义周期性时间段(非上班时间)Router(config-time-range)#periodicdaily17:00to23:59验证测试:验证访问列表和time-range接口配置Router#ess-lists     !#showtime-range   !显示time-range接口配置time-rangeentry:t1absolutestart08:001October2004end18:0030December2020periodicdaily00:00to08:00periodicdaily17:00to23:59第二步:在接口上应用访问列表Router(config)#1  !进入接口F1配置模式Router(config-if)#ess-group100out  !在接口F1的出方向上应用访问列表100验证测试:验证接口上应用的访问列表Router#1isup,.     !显示在出口上应用了访问列表100Inbound ountingisdisabledTCP/pressionisdisabledPolicyroutingisdisabled第三步:测试访问列表的效果C:\>  !(或用另一台服务器),再进行测试:C:\>  !:00,再进行测试:C:\>  !【注意事项】●在定义时间接口前须先校正系统时钟;●Time-range接口上允许配置多条periodic规则(周期时间段),在ACL进行匹配时,只要能匹配任一条periodic规则即认为匹配成功,而不是要求必须同时匹配多条periodic规则;●设置periodic规则时可以按以下日期段进行设置:day-of-the-week(星期几)、Weekdays(工作日)、Weekdays(周末,即周六和周日)、Daily(每天);●Time-range接口上只允许配置一条absolute规则(绝对时间段);●Time-range允许absolute规则与periodic规则共存,此时,ACL必须首先匹配absolute规则,然后再匹配periodic规则。【参考配置】Switch#show running-config  !显示交换机的全部配置Buildingconfigurati