Tweet
Mục đích: Bài LAB này minh họa việc sử dụng time – of – day access-list để điều khiển các kết nối VTY (telnet) đến router.
Mô hình:
Hướng dẫn:
Để cho phép time – of – day access-list bạn phải tạo một time range để định nghĩa thời gian cụ thể của ngày và tuần. Trong bài LAB này router B chỉ cho phép truy cập VTY từ host 152.1.2.1 từ 9:00 đến 17:00 thứ Hai đến thứ Sáu.
Cấu hình tham khảo:
RouterA
interface FastEthernet0/0
ip address 152.1.2.1 255.255.255.0
duplex auto
speed auto
RouterB
interface FastEthernet0/0
ip address 152.1.2.2 255.255.255.252
no ip mroute-cache
duplex auto
speed auto
!
access-list 101 permit tcp any any eq telnet time-range deny_user
!
line vty 0 4
access-class 101 in
privilege level 15
no login
!
time-range deny_user
periodic daily 9:00 to 17:00
Kiểm tra:
Chỉnh lại thời gian của router B cho đúng với time – of – day access-list.
RouterB#clock set 15:56:00 20 december 2000
RouterB#show clock
15:58:37.987 UTC Wed Dec 20 2000
RouterB#show access-lists 101
Extended IP access list 101
permit tcp any any eq telnet time-range deny_user (active) (2 matches)
RouterA#telnet 152.1.2.2
Trying 152.1.2.2 ... Open
RouterB#
Bây giờ, chỉnh lại thời gian của router B là 18:00.
RouterB#clock set 18:00:00 20 December 2000
RouterB#show access-lists 101
Extended IP access list 101
permit tcp any any eq telnet time-range deny_user (inactive) (4 matches)
RouterA#telnet 152.1.2.2
Trying 152.1.2.2 ...
% Connection refused by remote host
----------------
Mô hình:
Hướng dẫn:
Để cho phép time – of – day access-list bạn phải tạo một time range để định nghĩa thời gian cụ thể của ngày và tuần. Trong bài LAB này router B chỉ cho phép truy cập VTY từ host 152.1.2.1 từ 9:00 đến 17:00 thứ Hai đến thứ Sáu.
Cấu hình tham khảo:
RouterA
interface FastEthernet0/0
ip address 152.1.2.1 255.255.255.0
duplex auto
speed auto
RouterB
interface FastEthernet0/0
ip address 152.1.2.2 255.255.255.252
no ip mroute-cache
duplex auto
speed auto
!
access-list 101 permit tcp any any eq telnet time-range deny_user
!
line vty 0 4
access-class 101 in
privilege level 15
no login
!
time-range deny_user
periodic daily 9:00 to 17:00
Kiểm tra:
Chỉnh lại thời gian của router B cho đúng với time – of – day access-list.
RouterB#clock set 15:56:00 20 december 2000
RouterB#show clock
15:58:37.987 UTC Wed Dec 20 2000
RouterB#show access-lists 101
Extended IP access list 101
permit tcp any any eq telnet time-range deny_user (active) (2 matches)
RouterA#telnet 152.1.2.2
Trying 152.1.2.2 ... Open
RouterB#
Bây giờ, chỉnh lại thời gian của router B là 18:00.
RouterB#clock set 18:00:00 20 December 2000
RouterB#show access-lists 101
Extended IP access list 101
permit tcp any any eq telnet time-range deny_user (inactive) (4 matches)
RouterA#telnet 152.1.2.2
Trying 152.1.2.2 ...
% Connection refused by remote host
----------------