Router# config t
Router(config)# interface ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31
December 2000 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我们是在一个扩展访问列表的基础上再加上时间控制就达到了目的 。
因为是要控制WEB访问的协议,所以必须要用扩展列表,也就是说,编号要在100-199之间 。这些关于访问列表的基础知识,请参考其他关于Cisco或者CCNA的基础文档 。我们定义了这个时间范围名称是http,这样,我们就在列表中的最后一句方便的引用了 。有了以上的具体讲解,这个很好看懂了 。我们再看下面一个例子 。
例2:网络结构同上例,现在假设我们的访问要求变了,服务器WEB2(IP:202.222.100.100)上放着的是新年贺岁版的公司主页,我们希望在2001年12月31日24:00点前,Internet的用户访问的是服务器WEB1(IP:202.111.170.50)上的主页内容,而不能访问WEB2上的内容 。在此之后的新年里,访问的是新年版主页而不能访问旧版本的主页 。那么,我们利用带有时间控制的访问列表来自动实现这个功能,而不用网络治理员再到新年半夜来手动删除(安心在家看春节联欢晚会吧^&^) 。列表内容如下:
Router# config t
Router(config)#interface serial 0
Router(config-if)#ip access-group web in
Router(config-if)#
time-range changewebabsolute end 24:00 31 December 2000
Router(config-if)#ip access-list extended web
permit tcp any host 202.111.170.50 eq 80 changeweb
deny tcp any host 202.222.100.100 eq 80 changeweb
permit tcp any host 202.222.100.100 eq 80
好了,我们分析下这个访问控制列表 。第一句是进入端口控制模式 。第二句是应用名称访问列表web,并且是用在Serial 0 的入口方向,就是数据流入路由器的时候做协议控制分析 。第三句,定义一个时间范围名称是changeweb 。第四句是定义扩展名称访问列表web 。第五、六句是表示在新年前,只能答应访问WEB1 。第七句是答应所有到WEB2的web访问 。这样第七句不是在没有时间限制的情况下全部答应了WEB2的访问吗?那我们的目的是如何实现的呢?不要忘记,路由器中访问控制列表的每个表项的顺序是很重要的,它是从上到下执行的,这样,在新年之前,也就是第五、六句起左右的时候,访问WEB2的要求已经被禁止了,所以,第七句就没有用了,而在新年之后呢,第五、六句失效了,第七句才发挥它的作用 。答应所有对WEB2的访问请求,那么,新年之后,还能访问WEB1服务器吗?当然不能,因为我们第七句只答应访问WEB2,隐含的意思就是,其余的全部禁止 。
看到这儿,你不是觉的您的想法都被CISCO路由器实现了? 合理有效的利用基于时间的访问控制列表,可以更有效更安全更方便的保护我们的内部网络 。这样你的网络才会更安全,网络治理员也会更轻松!
推荐阅读
- 路由器的选择原则
- 用Cisco 2621路由器接入宽带Internet
- 路由器实现线路负载均衡
- 如何选购宽带路由器
- ISDN路由器的设置
- Cisco路由器上的CAR的机制和实现方法
- 笑傲江湖、集线器、路由器……
- Cisco路由器的基本配置
- 路由器配置之预备知识
- Cisco 2511路由器的PPP配置