基于时间的访问 控制列表

1、基于时间的访问控制列表【实验名称】基于时间的访问控制列表。【实验目目的】掌握基于于时间段段进行控控制的IIP访问问列表配配置。【背景描描述】你是某公公司网管管，为了了保证公公司上班班时间的的工作效效率，公公司要求求上班时时间只可可以访问问公司的的内部网网站。下下班以后后员工可可以随意意放松，访问网网络不受受限制。本实验以以1台117622路由器器为例。PC机机的IPP地址和和缺省网网关分别别为1772.116.11.1/24和和1722.166.1.2/224，服服务器（Serrverr）的IIP地址址和缺省省网关分分别为1160.16.1.11/244和1660.116.11.2/24，路由

2、器器的接口口F1/0和FF1/11的IPP地址分分别为1172.16.1.22/244和1660.116.11.2/24。【技术原原理】基于时间间的访问问列表是是指在标标准或扩扩展的访访问列表表的基础础上增加加时间段段的应用用规则。Timee-raangee时间段段分为两两种：绝绝对性时时间段和和周期性性时间段段。在周期时时间段里里有一些些常见参参数：wweekkdayys表示示每周的的工作日日（周一一至周五五）、wweekkendd表示周周末（周周六和周周日）、daiily表表示每天天。【实现功功能】基于时间间对网络络访问进进行控制制，提高高网络的的使用效效率和安安全性。【实验设设备】R17

3、662路由由器（11台）、直连线线或交叉叉线（22条）【实验拓拓扑】图 SEQ 图 * ARABIC 300【实验步步骤】基本配置置。Routter#connfigguree teermiinallRoutter(connfigg)#iinteerfaace fasstettherrnett 1/0Routter(connfigg-iff)#iip aaddrresss 1772.116.11.1 2555.2555.2255.0Routter(connfigg-iff)#nno sshuttdowwnRoutter(connfigg-iff)#eexittRoutter(connfigg)#

4、iinteerfaace fasstettherrnett 1/1Routter(connfigg-iff)#iip aaddrresss 1660.116.11.2 2555.2555.2255.0Routter(connfigg-iff)#nno sshuttdowwnRoutter(connfigg-iff)#eexittRoutter(connfigg)# 验证配配置：查查看路由由器接口口的状态态。Routter#shoow iip iinteerfaace briiefInteerfaaceIIP-AAddrresss(Prri)OOK? Staatussseriial 1/22 n

5、no aaddrresss YYES DOWWNseriial 1/33 noo adddreess YEES DDOWNNFasttEthhernnet 1/00 1772.116.11.1/24 YEES UUPFasttEthhernnet 1/11 1660.116.11.2/24 YEES UUPNulll 0 no adddresss YESS UPP配置路由由器的时时钟。Routter#shoow cclocck !查看看路由器器当前时时钟clocck: 19887-11-166 5:19:9Routter#cloock sett 166:033:400 277 apprill

6、20006-4-227!重设路路由器当当前时钟钟和实际际时钟同同步Routter#shoow cclocckclocck:20006-4-2716:04:99定义时间间段。Routter(connfigg)#ttimee-raangee frreettimeeRoutter(connfigg-tiime-rannge)#abbsollutee sttartt 8:00 1 jjan 20006 eend 18:00 30dec 20110!定义绝绝对时间间段Routter(connfigg-tiime-rannge)#peerioodicc daailyy 0:00 to 9:000 !定义周

7、周期性时时间段Routter(connfigg-tiime-rannge)#peerioodicc daailyy 177:000 too 233:599!定义周周期性时时间段验证配置置：查看看时间段段配置。Routter#shoow ttimee-raangeetimee-raangee enntryy: ffreeetimme (inaactiive) abbsollutee sttartt 088:000 011 Jaanuaary20006eend 18:00 30 Deccembber 20110 peerioodicc Daailyy 0:00 to 9:000 peerioodi

8、cc Daailyy 177:000 too 233:599定义访问问控制列列表规则则。Routter(connfigg)#aacceess-lisst 1100 perrmitt ipp anny hhostt 1660.116.11.1!定义扩扩展访问问控制列表表，允许许访问主主机1660.116.11.1Routter(connfigg)#aacceess-lisst 1100 perrmitt ipp anny aany timme-rrangge ffreeetimme! 关联联timme-rrangge接口口t1，允许在在规定时时间段访访问任何何网络 注：访访问控制制列表的的隐含规

9、规则是拒拒绝所有有数据包包。验证配置置：查看看访问控控制列表表配置。Routter#shoow aacceess-lisstsExteendeed IIP aacceess lisst 1100 inccluddes 2 iitemms: perrmitt ipp anny hhostt 1660.116.11.1 perrmitt ipp anny aany timme-rrangge ffreeetimme (acttivee)将访问列列表规则则应用在在接口上上。Routter(connfigg)#intterffacee faasteetheerneet 11/0Routter(conn

10、figg-iff)#iip aacceess-grooup1000 inn!在F11/0接接口上进进行入栈栈应用验证配置置：查看看F1/0接口口上应用用的规则则。Routter#shoow iip iinteerfaace fasstettherrnett 1/0FasttEthhernnet 1/00 IPP innterrfacce sstatte iis:UP IPP innterrfacce ttypee iss: BBROAADCAAST IPP innterrfacce MMTU is: 15500 IPP adddreess is: 1722.166.1.1/224 (priim

11、arry) IPP adddreess neggotiiatee iss: OOFF Foorwaard dirrectt-booarddcasst iis: ON ICCMP massk rreplly iis: ON Seend ICMMP rrediirecct iis: ON Seend ICMMP uunreeachhablled is: ONN DHHCP rellay is: OFFF Faast swiitchh iss: OON Rooutee hoorizzonttal-spllit is: ONN Heelp adddresss iis:0.00.0.0 Prroxyy

12、ARRP iis: ON Ouutgooingg acccesss llistt iss noot sset. Innbouund acccesss liist is 1000.验证测试试。在服务器器主机上上配置WWeb服服务器，服务器器IP地地址为1160.16.1.11（详见见选修实实验内容容）。1、验证证在工作作时间的的服务器器的访问问。更更改路由由器的当当前时间间为上班班时间，PC机可可以访问问1600.166.1.1的Webb服务。更改服务器器的IPP地址为为1600.166.1.5，PC机无无法访问问Webb服务。2、验证证在非工工作时间间的服务务器的访访问。更更改路由由器的当当前

13、时间间为下班班时间，PC机可可以访问问1600.166.1.1的Webb服务。更改服务器器的IPP地址为为1600.166.1.5，PC机机同样可可以访问问Webb服务。【注意事事项】在定义时时间接口口前须先先校正路路由器系系统时钟钟；Timee-raangee接口上上允许配配置多条条perrioddic规规则（周周期时间间段），在ACCL进行行匹配时时，只要要能匹配配任一条条perrioddic规规则即认认为匹配配成功，而不是是要求必必须同时时匹配多多条peerioodicc规则；设置peerioodicc规则时时可以按按以下日日期段进进行设置置：daay-oof-tthe-weeek（星星

14、期几）、Weeekddayss（工作作日）、Weeekdaays（周末，即周六六和周日日）、Daailyy（每天天）；Timee-raangee接口上上只允许许配置一一条abbsollutee规则（绝对时时间段）；Timee-raangee允许aabsoolutte规则则与peerioodicc规则共共存，此此时，AACL必必须首先先匹配aabsoolutte规则则，然后后再匹配配perrioddic规规则。【参考配配置】Routter#shoow rrunnningg-coonfiigBuilldinng cconffiguurattionn.Currrentt coonfiigurrati

15、ion : 9925 byttes!verssionn 8.32(buiildiing 53)!timee-raangee frreettimee abssoluute staart 8:000 11 Jaanuaary20006eend 18:00 30 Deccembber 20110 perrioddic Daiily 0:000 tto 99:000 perrioddic Daiily 17:00 to 23:59!acceess-lisst 1100 perrmitt ipp anny hhostt 1660.116.11.1acceess-lisst 1100 perrmitt i

16、pp anny aany timme-rrangge ffreeetimme!inteerfaace serriall 1/2 cloock ratte 6640000!inteerfaace serriall 1/3 cloock ratte 6640000!inteerfaace FasstEttherrnett 1/0 ip acccesss-grroupp 1000 iin ip adddresss 1172.16.1.11 2555.2255.2555.0 dupplexx auuto speeed autto!inteerfaace FasstEttherrnett 1/1 dupplexx auuto speeed autto!inteerfaace Nulll 00!linee coon 00l