交換機:認識基于時間的訪問控制表

字號:

訪問控制表(ACL)實際上是在路由器或三層交換機上實現(xiàn)的根據(jù)數(shù)據(jù)報文的內(nèi)容進行的過濾行為。路由器或者三層交換機根據(jù)報文的特征以及ACL中所定義的策略,決定將該報文進行轉發(fā)或者丟棄。常用的訪問控制表通常是根據(jù)IP數(shù)據(jù)包的源地址、目標地址、協(xié)議類型等來進行配置,本文將介紹另外一種訪問控制表:基于時間的訪問控制表。
    基于時間的訪問控制表可以根據(jù)一天中的不同時間或一星期中的不同日期、加入收藏或二者相結合來控制網(wǎng)絡數(shù)據(jù)包的轉發(fā)。這種基于時間的訪問控制表,就是在原來的標準訪問控制表和擴展訪問控制表中,加入有效的時間范圍來更合理有效地控制網(wǎng)絡。首先定義一個時間范圍,然后在原來的各種訪問列表的基礎上應用它。
    基于時間訪問列表的設計中,用time-range命令來指定時間范圍的名稱,然后用absolute命令,或者一個或多個periodic命令來具體定義時間范圍。命令格式為:
    time-range time-range-name
    absolute [start time date] [end time date]
    periodic days-of-the week hh:mm to [days-of-the week] hh:mm
    下面分別介紹每個命令和參數(shù)的詳細情況。
    time-range:
    用來定義時間范圍的命令。
    time-range-name:
    時間范圍名稱,用來標識時間范圍,以便于在后面的訪問列表中引用。
    absolute:
    該命令用來指定絕對時間范圍。它后面緊跟著start和end兩個關鍵字。在這兩個關鍵字后面的時間要以24小時制hh:mm表示,日期要按照日/月/年來表示。如果省略start及其后面的時間,則表示與之相聯(lián)系的permit或deny語句立即生效,并一直作用到end處的時間為止。如果省略end及其后面的時間,則表示與之相聯(lián)系的permit或deny語句在start處表示的時間開始生效,并且一直進行下去。
    periodic
    主要是以星期為參數(shù)來定義時間范圍的一個命令。它的參數(shù)主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
    下面以一個實例來說明基于時間的訪問控制表的使用方法。
    在一個網(wǎng)絡中,為了網(wǎng)絡內(nèi)的主機在工作時間內(nèi)不能進行Web瀏覽,從周一到周五的上午8:00到晚上18:00,不允許任何http訪問,而周六和周日則允許所有的訪問。
    我們通過基于時間的擴展訪問控制列表來實現(xiàn)這一功能,首先定義一個在周一至周五上午8:00到晚上18:00的時間范圍,名稱為“worktime”:
    Lab(config)# time-range worktime
    Lab(config-time-range)# periodic weekdays 8:00 to 18:00
    接下來,定義一個命名的訪問控制表,名稱為“nohttp”,與前面定義的時間范圍“worktime”共同作用,禁止該時間范圍內(nèi)的http協(xié)議:
    Lab(config)# ip access-list extended nohttp
    Lab(config-ext-nacl)# deny tcp any any eq www time-range worktime
    為了能夠在這個時間以外,允許所有數(shù)據(jù)包通過,還需要定義一個允許通過的ACE:
    Lab(config-ext-nacl)# deny ip any any
    最后,將這個ACL應用到路由器的接口上:
    Lab(config)# interface f0/0
    Lab(config-if)# ip access-group nohttp in
    合理有效地利用基于時間的訪問控制列表,可以更有效、更安全、更方便地保護我們的內(nèi)部網(wǎng)絡,這樣您的網(wǎng)絡才會更安全,網(wǎng)絡管理人員也會更加輕松。
    什么是ACL
    ACL是訪問控制列表的簡稱,它使用濾技術,在路由器上讀取第三層及第四層包頭中的信息,如源地址目的地址源端口、目的端口等,根據(jù)預先定義好的規(guī)則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經(jīng)擴展到三層交換機,部分最新的二層交換機也開始提供ACL的支持了。