搜索
基于时间的ACL的配置【实验目的】掌握时间范围的建立掌握基于时间的访问控制列表ACL命令的使用掌握以命名为基础的访问控制列表的建立掌握将基于命名的访问控制列表关联到端口的命令的使用【实验设备】路由器二台(模拟器中选择Generic路由器,有串行口)PC机二台交换机一台交叉线一条DTE或DCE连线二条配置线二条直通线三条【实验拓扑】【实验要求】某软件公司的服务器,公司规定只能在正常工作时间登录(周一到周五8:00~17:00),其他时间拒绝登录,以确保公司的数据安全【实验步骤】一.按照图示连接设备:路由器和路由器之间用DTE或DCE线连接,交换机与电脑、路由器之间用直通线,路由器与服务器之间用交叉线连接二.设置路由器的端口的IP地址及时钟频率1.路由器RA的配置:Routerenable(进入特权模式)Router#configureterminal(进入全局模式)Router(config)#hostnameRA(给路由器命名为RA)RA(config)#interfaceserial2/0(进入2号串口)RA(config-if)#ipaddress10.10.2.1255.255.255.0(设置2号串口IP地址)RA(config-if)#clockrate128000(设置时钟频率)RA(config-if)#noshutdown(激活端口)RA(config-if)#exit(退回上一级)RA(config)#interfacefastethernet0/0(进入0号接口)RA(config-if)#ipaddress10.10.1.1255.255.255.0(设置0号口IP地址)RA(config-if)#noshutdown(激活端口)RA(config-if)#exit(退回上一级)2.路由器RB的配置:Routerenable(进入特权模式)Router#configureterminal(进入全局模式)Router(config)#hostnameRB(给路由器命名为RB)RB(config)#interfaceserial2/0(进入2号串口)RB(config-if)#ipaddress10.10.2.2255.255.255.0(设置2号串口IP地址)RB(config-if)#noshutdown(激活端口)RB(config-if)#exit(退回上一级)三.启动rip协议,通告相邻网络号:1.路由器RA的配置:RA(config)#routerrip(启动rip协议)RA(config)#version2(使用ripV2协议)RA(config-router)#network10.10.1.0(通告10.10.1.0连到本路由器上)RA(config-router)#end(返回特权模式)2.路由器RB的配置:RB(config)#routerip(启动rip协议)RB(config)#version2(使用ripV2协议)RB(config-router)#network10.10.3.0(通告10.10.2.0连到本路由器上)RB(config-router)#end(返回特权模式)四.设置PC1、PC2和服务器的IP地址及网关地址:PC1:10.10.1.10(IP)255.255.255.0(掩码)10.10.1.1(网关)PC2:10.10.1.11(IP)255.255.255.0(掩码)10.10.1.1(网关)服务器:10.10.3.10(IP)255.255.255.0(掩码)10.10.3.1(网关)五.查看每台路由器的路由信息并测试连通性:分别在每台路由器上输入下列命令:1.RA#showiproute(查看路由表信息)*此时RA路由表有2条C路由信息,1条R路由,RB上有2条C路由信息,1条R路由信息2.分别在PC1上和PC2上测试是否跟服务器相互连通:PC1:ping10.10.3.10PC2:ping10.10.3.10*结果应该是所有的都连通3.分别在PC1和PC2上测试登录服务器的Web网页,看是否能登录上*结果应该是两个都能登录六.在RA上设置访问控制列表:RA(config)#time-rangetime1(创建时间范围)RA(config-time-range)#periodicweekend0:00to23:59(限定时间为每周一到周五)RA(config-time-range)#exit(退回上一级)RA(config)#ipaccess-listextendedlo-time(以命名方式定义访问控制列表)RA(config-ext-nacl)#denytcp10.10.1.00.0.0.255host10.10.3.10time-rangetime1(设置允许10.10.1.0网段在time1规定的时间范围内登录服务器)RA(config-ext-nacl)#permitipanyany(允许在其他时间的任何访问)RA(config-ext-nacl)#exit(退回上一级)RA(config)#interfacef0/0(进入0号接口)RA(config-if)#ipaccess-grouplo-timein(设定访问控制列表lo-time应用在RA的f0/0入口上)RA(config-if)#exit(退回上一级)七.结果测试:(1)设置路由器的时间跟系统当前工作时间一致:RA#clockset9:12:00january282014(时间为2014年2月28日上午9点12分,星期五,属于工作时间)分别在PC1上和PC2上测试是否跟服务器相互连通:PC1:ping10.10.3.10PC2:ping10.10.3.10*结果应该是都能通(2)设置路由器的时间跟系统当前工作时间一致:RA#clockset9:12:00March12014(时间为2014年3月1日上午9点12分,星期六,属于非工作时间)分别在PC1上和PC2上测试是否跟服务器相互连通:PC1:ping10.10.3.10PC2:ping10.10.3.10*结果应该是都不能通附:基于时间的访问控制列表的格式:1.RA(config)#time-range时间范围名定义一个时间范围,名字区分大小写,且不能以数字打头2.RA(config-time-range)#absolute|periodic时间(1)absolute严格规定时间格式,每个时间范围内只能有一条严格时间,例:RA(config-time-range)#absolutestart08:001May2010end08:001Dec2010从2010年5月1号早上八点至12月8点这段时间(2)periodic设置周期时间,可设置多条,例:RA(config-time-range)#periodicdaily08:00to17:00每天早上8点至下午5点RA(config-time-range)#periodicMonday08:00to17:00每周一早上8点至下午5点RA(config-time-range)#periodicweekdays08:00to17:00周一至周五早上8点至下午5点,这句等同于下面这句RA(config-time-range)#periodicMondayFriday08:00to17:00跟上面一句意义一样同理weekends=saturdayandSunday3.定义一个访问控制列表(是标准的、扩展的、以命名为基础的都可以,后面必须加上规定的时间范围)(1)access-list1permitanytime-range时间范围(2)access-list101permittcp10.10.1.00.0.0.255host10.10.3.10time-range时间范围(3)ipaccess-listextended访问控制列表名permittcp10.10.1.00.0.0.255host10.10.3.10time-range时间范围4.RA(config)#interfacef0/0RA(config-if)ipaccess-group列表名|号in|out应用列表到某接口的入口或出口上