Cisco ios基于时间ACL,inactive的解决方法

www.net130.com     日期:2011-9-19    浏览次数:

 这几天在研究基于时间的ACL,这的确是个好东东,大大的方便了管理员的管理。 以前没有出基于时间的ACL管理可真够辛苦的,比如说管理一个公司。周一至周五不允许访问网络,周末允许。首先管理员要在周一至周五设置不允许访问网络, 周五下班会改一大堆规则允许周末访问网络,星期一要一大早跑到机房去改回来。是不是太累了,科技发展的快就是好,管理员也省事了,费话不多说了,开始今天 的主题了。

  还是先看我的拓扑吧:


周一至周五不允许客户访问网络,周六,周日允许访问网络。下面来配置基于时间的ACL

  首先要把路由器的时间调整准确,不然是不生效的,我之前就是因为这个搞了半天还不得,我都开始怀疑我的人品了,哈哈……

 

 

  看看我路由器系统的默认时间吧

  SW#show clock

  *00:02:26.355 UTC Fri Mar 1 2002

  是2002年3月1号 00:02分 星期五,要把它改成现在的时间

  SW(config)#clock timezone UTC +8 在全局配置模式下敲这个命令,UTC的意思是世界统一时间,也可以自己命名。为什么改+8呢,因为我们国家是东8区,时间是早8个小时。等几秒钟就会出 现,系统改变时间的信息

  *Mar 1 00:04:26.767: %SYS-6-CLOCKUPDATE: System clock has been updated from 00:04:26 UTC Fri Mar 1 2002 to 08:04:26 UTC Fri Mar 1 2002, configured from console by console.

  看到没从00:04到了08:04分了,这里只是改时区,还要改时间,即到特权模式

  SW#clock set 11:28:00 2 May 2010 这个时间是2010年5月2号11:28就是我现在的这个时间 May是五月的缩写,其他月份记得举一反三哟。我把时间的缩写都写上吧,一下去找比较麻 烦。 一月 Jan. January 二月 Feb. February 三月 Mar. March

  四月 Apr. April 五月 May. May 六月 June. June

  七月 July. July 八月 Aug. August 九月 Sept. September

  十月 Oct. October 十一月 Nov. November 十二月 Dec. December

  现在看一下时间是多少

  SW#show clock

  11:31:50.911 UTC Sun May 2 2010 变成现在的时间2010年5月2号11:31了,时间设置好了,才能开始下一步。设置时段

  SW(config)#time-range mytime 设置时段的名称,可以随便自定义。

  SW(config-time-range)#?

  Time range configuration commands:

  absolute absolute time and date default Set a command to its defaults

  exit Exit from time-range configuration mode

  no Negate a command or set its defaults

  periodic periodic time and date

  absolute 严格规定时间格式 例:

  SW(config-time-range)#absolute start 08:00 1 May 2010 end 08:00 1 Dec 2010 从2010年5月1号早上八点至12月8点这段时间

  default 设置一个默认的命令

  SW(config-time-range)#default absolute 设置默认为absolute

  exit 退出

  no 删除时间段

  periodic 设置周期时间 可设置多条 例:

  SW(config-time-range)#periodic daily 08:00 to 17:00 每天早上8点至下午5点

  SW(config-time-range)#periodic Monday 08:00 to 17:00 每周一早上8点至下午5点

  SW(config-time-range)#periodic weekdays 08:00 to 17:00 周一至周五早上8点至下午5点 这句等同于下面这句

  SW(config-time-range)#periodic Monday Friday 08:00 to 17:00 跟上面一句意义一样

  同理weekends= saturday and sunday

  大家多举一反三吧,定义好时间段然后就是应用到ACL上面去

  创建一条拓展ACL

  SW(config)#access-list 101 permit ip any any time-range mytime 创建一条在规定时间内允许所有主机访问的拓展ACL,在这段时间外,主机是无法访问的。

  再把它应用到接口上去

  SW(config)#int f0/2

  SW(config-if)#ip access-group 101 in

  查看一下

  SW#show time-range

  time-range entry: mytime (inactive)

  periodic Monday Friday 8:00 to 17:00

  这里为什么是inactive呢 因为时间已经过了,今天是星期天,明天就会是active了

  我们改一下路由器的时间看一下

  SW#clock set 14:27:00 3 May 2010

  May 3 06:27:00.003: %SYS-6-CLOCKUPDATE: System clock has been updated from 14:25:20 UTC Sun May 2 2010 to 14:27:00 UTC Mon May 3 2010, configured from console by console.

  SW#show time-range

  time-range entry: mytime (active)

  periodic Monday Friday 8:00 to 17:00

  现在蛮成avtive了吧 没有活动主要是时间未到,所以定义时间的时候要注意,要以路由器的时间为准,不是电脑上的时间。

  2.星期

  星期一:Monday (Mon.) 星期二:Tuesday (Tues.)

  星期三:Wednesday (Wen.) 星期四:Thursday (Thur.)

  星期五:Friday (Fri.) 星期六:Saturday (Sat.)

  星期日:Sunday (Sun.)

  daily 每天

  weekdays 周一至五

  weekend 周末

分享道
相关新闻