欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  数据库

Cisco 时间 访问列表

程序员文章站 2022-05-20 11:19:37
...

1.基于 时间 的 访问 列表 借助基于时间的访问列表, 可以 控制用户在某个时间段对访问的访问权限. 进入全局配置模式 Switch#conf t 指定的时间范围命名有一个有意义的名称.名称不能包括空格和引号,并且必须以字母开头. Switch(config)#time-range time-range

1.基于时间访问列表

借助基于时间的访问列表,可以控制用户在某个时间段对访问的访问权限.

进入全局配置模式

Switch#conf t

指定的时间范围命名有一个有意义的名称.名称不能包括空格和引号,并且必须以字母开头.

Switch(config)#time-range time-range-name

指定时间范围

Switch(config-time-range)#absolute [start time date] [end time date]

或者

periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm

或者

periodic {weekdays | weekend | daily} hh:mm to hh:mm

Absolute: 指定绝对时间范围.该关键字之后紧跟着start和end关键字. 若使访问列表中相关的permit 或deny语名生效,则start和end之后应当紧跟开始和结束的时间.需要注意的是,时间以24小时格式表示,日期以(日/月/年"格式表示.

periodic:尽管每个时间范围只能有一下absolute语句,但是却可以有多个periodic语句。别外,absolute语句法只拥有 开始和结束时间,以及日期等少数几个参数,而periodic语句可以使用大量参数,范围可以是一星期中的某一天或几天的组合,或者使用关键字daily weekdays weekend 等。表12-1列出了在语句中可以出使用的每星期天数中的参数。

Monday, Tuesday, Wednesday, Thursday ,Friday, Saturday, Sunday

某一天或某几天的组合

Daily

从星期一至星期天

Weekend

星期六和星期日

Weekdays

从星期一至星期五

返回特权配置模式

Switch(config-time-range)#end

校验当前设置

Switch#show time-range

保存当前配置

copy running-config startup-config

借助基于时间的访问列表,可以控制用户在某个时间段的访问权限。

限制用户网络应用

普通用户使用“10.1.0.0/16" 段的IP地址,若要限制所有员工在周一至周五8:00~18:00使用QQ和MSN聊天,可以在访问列表中添加以下语名:

time-range deny-qq

----------定义时间范围名称为"deny-qq"

periodic weekdays start 8:00 end 18:00

---------时间范围为周一至周五的8:00~18:00

ip access-list extend internet_limit

deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range deny-qq

deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qq

deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq

deny udp 10.1.0.0 d0 0.255.255 any eq 8000 time-range deny-qq

deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range deny-qq

deny udp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq

----定义QQ和MSN聊天使用的协议和端口号

permit ip any any

其余访问不予限制

需要注意的是,网络应用程序所使用的端口号,大多都可以在下述文件中找到.

win9X:%windir%\services

winNT/2000/xp/2003:%windir%\system32\drivers\etc\services

linux:/etc/services

如果在services 文件中找不端口的应用,可以在运行程序后运行netstat-ap 比较并找出应用所使用的端口号

允许网络应用启用

为了保证在非工作时间没有用户从内部登陆到交换机,使交换机以太网口FE0/0 仅仅在星期一至星期五的上午9:00到下午5:00之间接收目的端口23(telnet)的TCP报文,而其他非工作时则一律禁止.

相关配如下:

interface fastethernet 0/0

ip access-group 101 in

-----将IP访问列表101应用至该端口

access-list 101 permit tcp any any eq telnet time-range nettel

-----设置IP访问列表101

time-range nettl

periodic weekdays 9:00 to 17:00

-----设置时间访问列表nettel

2.相关配置命令

时间访问列表相关配置命

相关标签: Cisco 时间 访问 列表 基于 时间 访问 列表 借助

上一篇: zend framework文件上传功能实例代码_php实例

下一篇: 手工注入access拿下某网站过程

推荐阅读