Cisco路由器ACL安全应用—基于时间的ACL

session 1 原理

基于时间的ACLACL的一种拓展,把时间的概念引入ACL后可以更具设置的时间段或者时间周期来控制ACL..

分为两种:1、某时间段内生效,比如某年的某月的某日的某个时间范围生效

                 2、周期性的生效,比如某星期的周一到周五的那个世间范围内生效


session 2 配置

实验拓扑2台路由器和一台PC

实验目标:在某个时间段内让internet无法ping通PC

int f0/0 192.168.1.1 ----- PC 10.0.0.2

Cisco路由器ACL安全应用—基于时间的ACL_第1张图片

1、设置系统时间,这个时间是ACL的参照很重要

R2#clock set 18:12:46 27 oct 2015     设置系统时间为2015.10.27 18:12:46

2、启用time-rang

R2(config)#time-range icmp              名称为icmp

R2(config-time-range)#absolute start 18:04 27 October 2015 end 18:05 27 October 2015

设置时间段为2015.10.27 18:04 到 2015.10.27 18:05

3、设置ACL并给ACL添加time-rang属性使ACL基于时间来执行

R2(config)#access-list 100 deny icmp any any time-range icmp

R2(config)#access-list 100 permit ip any any time-range icmp

R2(config-if)#ip access-group 100 in     在f0/0接口的入方向应用基于时间的ACL

完成配置


session 3 测试结果

效果:在2015.10.27 18:04 到 2015.10.27 18:05的时间段内,internet将无法ping通PC2但是可以telnetPC,因为telnet是tcp流量。

查看结果

1、在设置的时间内,internet没有ping通PC2,但是telnet却可以打开23端口,密码没有所以建立会话。

R2#show clock 

18:05:21.483 UTC Tue Oct 27 2015

internet#ping 10.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5)

internet#telnet 10.0.0.2 

Trying 10.0.0.2 ... Open

Password required, but none set

[Connection to 10.0.0.2 closed by foreign host]

2、在设置的时间外,internet可以ping通PC2,telnet也可以打开23端口,密码没有所以建立会话。

R2#show clock 

18:07:46.483 UTC Tue Oct 27 2015

internet#ping 10.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/19/20 ms

internet#telnet 10.0.0.2

Trying 10.0.0.2 ... Open

Password required, but none set

[Connection to 10.0.0.2 closed by foreign host]

测试成功。

补充:

R2(config)#time-range icmp

R2(config-time-range)#periodic weekdays 8:30 to 17:30   设置时间段为一周内周一到周五的8:30到17:30分

time-range的生效时间其实是比set clock的时间晚一分钟的,cisco设定的。所以上面实验中:

2015.10.27 18:04 到 2015.10.27 18:05的时间段内真实生效时间为 2015.10.27 18:05 到 2015.10.27 18:06


你可能感兴趣的:(Cisco路由器ACL安全应用—基于时间的ACL)