ACL的一种高级应用

相思猪

今天和网上一个同学闲聊,问道能否在cisco的路由器上实现这样一种功能:

在公司上班的时间内只允许浏览网页和收发电子邮件,下班的时间随意......

于是就想到了ACL的一种高级应用-基于时间的ACL，就帮他写了几条命令......

因为这是一个基于时间的ACL，

所以,需要首先定义一个时间范围..
time-range test
periodic Daily 9:00 to 17:00

下面给出命令show access-list 的输出
Extended IP access list 101
    10 permit tcp 192.168.0.0 0.0.255.255 any eq www time-range test (active)  //这里绑定写好的时间
    20 permit tcp 192.168.0.0 0.0.255.255 any eq pop3 time-range test (active)
    30 permit tcp 192.168.0.0 0.0.255.255 any eq smtp time-range test (active)
    40 deny ip 192.168.0.0 0.0.255.255 any time-range test (active)
    50 permit ip any any //这一条大家一定要记住...不然在timerange之外的时间默认都会被deny掉哦!!

最后还有一点比较重要:就是当做完这些操作后.....是不是就一定能行了呢? 大家可以考虑考虑.....

王晓强

这种应用有点难度哦，
相思猪还藏了一手~
应该还要注意ACL在接口下的应用，并注意方向，
还有一个非常重要的知识点......

Power

哦。相思猪要把宝拿出来了吗，写成PDF文章会好的！
UP~~~~~~~~~
time-rang是一个好东西！
~

甲骨鱼

又学了一招,嘿嘿........

littlestrong

路由器上的时间，如果不准确的话，那么基于时间的ACL就跟着不准确了哦~
要解决这个问题，一般来说就是用NTP-网络时间协议~

相思猪

原帖由 littlestrong 于 2008-9-18 11:48 发表
路由器上的时间，如果不准确的话，那么基于时间的ACL就跟着不准确了哦~
要解决这个问题，一般来说就是用NTP-网络时间协议~

论坛真是卧虎藏龙啊...遇到一位潜水的高手

luchknight

可以结贴了吧，被老猪和andersen吊着胃口啊。

飘魂

好厉害呀～～我至今高级ACL还没弄好～～什么只能浏览WEB只能用FTP什么的～～EQ什么东西的还不是很清楚～～要去看书鸟～～如果谁能具体的给我这个菜鸟讲下～～在下感激不尽…………