任务21：配置出口路由器安全,限制访问互联网服务和时间.ppt

Company Logo LOGO 任务21 配置出口路由器，限制访问互联网服务及时间 《网络设备安装与调试技术》 目录 一、任务描述 二、任务分析 三、知识准备 21.1 基于时间访问控制列表技术 21.2 定义基于时间访问控制列表规则 四、任务实施 21.6 综合实训：配置出口路由器，限制访问互联网服务及时间 知识拓展 认证测试 任务描述 浙江科技工程学校需要改造网络中心的网络，为了实现学校内部网络接入外部互联网，使用高功效的路由器设备充当外网接入设备，实现校园网中接入互联网，实现不同网络之间互相通讯。 但学校在管理的过程中发现，经常在正常上课期间，有很多学生在上网、聊天、打游戏；为了加强学校网络的管理，学校上班制度规定：在上班时间（9：00~18：00），不允许多媒体机房中的学生计算机（如：172.16.1.0/24、172.16.2.0/24、172.16.3.0/24……）访问Internet，下班时间则可以访问Internet上的Web服务。 。 任务分析 基于时间的ACL访问控制列表技术，是在标准ACL访问控制列表和扩展ACL访问控制列表基础上功能的扩展，通过在规则配置中，加入有效的时间范围，来更有效地控制网络在时间上限制范围。 本例中，为了加强学校网络的管理，保证在上班时间期间，不允许允许多媒体机房中的学生计算机访问互联网，首先需要定义上班时间段；其次，编制基于编号的扩展的IP ACL规则，要求办公网172.16.1.0/24内的主机访问Internet，在此规则中引用了一个时间段“off-work”，也就是说只有在此时间段定义的时间范围内此条规则才会生效。最后将此ACL应用到了内部接口的入方向以实现过滤。 知识准备 21.1 基于时间访问控制列表技术 基于时间的ACL访问控制列表技术，是在标准ACL访问控制列表和扩展ACL访问控制列表基础上功能的扩展，通过在规则配置中，加入有效的时间范围，来更有效地控制网络在时间上限制范围。 时间的ACL需要先定义一个时间范围，然后在原来各种访问控制列表的基础上应用它；通过它，可以根据一天中不同时间，或者根据一周中的不同日期控制网络范围。 知识准备 21.2 定义基于时间访问控制列表规则 1、创建时间段 创建基于时间的ACL，需要依据二个要点： 一是使用参数time-range，定义一个时间段； 二是编制基于编号IP ACL或者名称IP ACL； 再将IP ACL规则和时间段结合起来应用。 知识准备 21.2 定义基于时间访问控制列表规则 时间段可分为两种类型：绝对（absolute）时间段、周期（periodic）时间段和混合时间段： 绝对时间段：表示一个时间范围，即从某时刻开始到某时刻结束，如1月5日早晨8点到3月6日早晨8点。 周期时间段：表示一个时间周期，如每天早晨8点到晚上6点，或每周一到每周五的早晨8点到晚上6点。 混合时间段：可以将绝对时间段与周期时间段结合起来，称为混合时间段，如1月5日到3月6日每周一至周五早晨8点到晚上6点。 知识准备 21.2 定义基于时间访问控制列表规则 在全局模式下，使用如下命令创建并配置时间段，当执行此命令后，系统将进入到时间段配置模式。 time-range time-range-name ！ time-range-name表示时间段的名称 2、定义时间段 在时间段模式下，使用“absolute”命令，配置绝对时间段： absolute { start time date [ end time date ] | end time date } ！在时间段配置模式下，定义绝对时间段 知识准备 21.2 定义基于时间访问控制列表规则 在时间段模式下，使用“periodic”命令，配置相对周期时间段： periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm periodic { weekdays | weekend | daily } hh:mm to hh:mm ！在时间段配置模式下，定义相对时间段 知识准备 21.2 定义基于时间访问控制列表规则 3、应用时间段 配置完时间段后，在编制完成的IP ACL规则中，需要使用“time-range”参数引用时间段后才会生效。 只有配置了time-range的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。 时间段和基于编号标准的IP ACL结合如下： Access-list list-number {permit | deny} source-address [ wildcard–mask ] time-ra