Cisco 时间 访问列表

1.基于 时间 的 访问 列表 借助基于时间的访问列表, 可以 控制用户在某个时间段对访问的访问权限. 进入全局配置模式 Switch#conf t 指定的时间范围命名有一个有意义的名称.名称不能包括空格和引号,并且必须以字母开头. Switch(config)#time-range time-range

1.基于时间的访问列表

借助基于时间的访问列表,可以控制用户在某个时间段对访问的访问权限.

进入全局配置模式

Switch#conf t

指定的时间范围命名有一个有意义的名称.名称不能包括空格和引号,并且必须以字母开头.

Switch(config)#time-range time-range-name

指定时间范围

Switch(config-time-range)#absolute [start time date] [end time date]

或者

periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm

或者

periodic {weekdays | weekend | daily} hh:mm to hh:mm

Absolute: 指定绝对时间范围.该关键字之后紧跟着start和end关键字. 若使访问列表中相关的permit 或deny语名生效,则start和end之后应当紧跟开始和结束的时间.需要注意的是,时间以24小时格式表示,日期以(日/月/年"格式表示.

periodic:尽管每个时间范围只能有一下absolute语句，但是却可以有多个periodic语句。别外，absolute语句法只拥有 开始和结束时间，以及日期等少数几个参数，而periodic语句可以使用大量参数，范围可以是一星期中的某一天或几天的组合，或者使用关键字daily weekdays weekend 等。表12-1列出了在语句中可以出使用的每星期天数中的参数。

Monday, Tuesday, Wednesday, Thursday ,Friday, Saturday, Sunday	某一天或某几天的组合
Daily	从星期一至星期天
Weekend	星期六和星期日
Weekdays	从星期一至星期五

返回特权配置模式

Switch(config-time-range)#end

校验当前设置

Switch#show time-range

保存当前配置

copy running-config startup-config

借助基于时间的访问列表，可以控制用户在某个时间段的访问权限。

限制用户网络应用

普通用户使用“10.1.0.0/16" 段的IP地址,若要限制所有员工在周一至周五8:00~18:00使用QQ和MSN聊天,可以在访问列表中添加以下语名:

time-range deny-qq

----------定义时间范围名称为"deny-qq"

periodic weekdays start 8:00 end 18:00

---------时间范围为周一至周五的8:00~18:00

ip access-list extend internet_limit

deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range deny-qq

deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range deny-qq

deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq

deny udp 10.1.0.0 d0 0.255.255 any eq 8000 time-range deny-qq

deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range deny-qq

deny udp 10.1.0.0 0.0.255.255 any eq 1080 time-range deny-qq

----定义QQ和MSN聊天使用的协议和端口号

permit ip any any

其余访问不予限制

需要注意的是,网络应用程序所使用的端口号,大多都可以在下述文件中找到.

win9X:%windir%\services

winNT/2000/xp/2003:%windir%\system32\drivers\etc\services

linux:/etc/services

如果在services 文件中找不端口的应用,可以在运行程序后运行netstat-ap 比较并找出应用所使用的端口号

允许网络应用启用

为了保证在非工作时间没有用户从内部登陆到交换机,使交换机以太网口FE0/0 仅仅在星期一至星期五的上午9：00到下午5:00之间接收目的端口23(telnet)的TCP报文,而其他非工作时则一律禁止.

相关配如下:

interface fastethernet 0/0

ip access-group 101 in

-----将IP访问列表101应用至该端口

access-list 101 permit tcp any any eq telnet time-range nettel

-----设置IP访问列表101

time-range nettl

periodic weekdays 9:00 to 17:00

-----设置时间访问列表nettel

2.相关配置命令

时间访问列表相关配置命