交換機(jī):認(rèn)識基于時(shí)間的訪問控制表

字號:

訪問控制表(ACL)實(shí)際上是在路由器或三層交換機(jī)上實(shí)現(xiàn)的根據(jù)數(shù)據(jù)報(bào)文的內(nèi)容進(jìn)行的過濾行為。路由器或者三層交換機(jī)根據(jù)報(bào)文的特征以及ACL中所定義的策略,決定將該報(bào)文進(jìn)行轉(zhuǎn)發(fā)或者丟棄。常用的訪問控制表通常是根據(jù)IP數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型等來進(jìn)行配置,本文將介紹另外一種訪問控制表:基于時(shí)間的訪問控制表。
    基于時(shí)間的訪問控制表可以根據(jù)一天中的不同時(shí)間或一星期中的不同日期、加入收藏或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問控制表,就是在原來的標(biāo)準(zhǔn)訪問控制表和擴(kuò)展訪問控制表中,加入有效的時(shí)間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個(gè)時(shí)間范圍,然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。
    基于時(shí)間訪問列表的設(shè)計(jì)中,用time-range命令來指定時(shí)間范圍的名稱,然后用absolute命令,或者一個(gè)或多個(gè)periodic命令來具體定義時(shí)間范圍。命令格式為:
    time-range time-range-name
    absolute [start time date] [end time date]
    periodic days-of-the week hh:mm to [days-of-the week] hh:mm
    下面分別介紹每個(gè)命令和參數(shù)的詳細(xì)情況。
    time-range:
    用來定義時(shí)間范圍的命令。
    time-range-name:
    時(shí)間范圍名稱,用來標(biāo)識時(shí)間范圍,以便于在后面的訪問列表中引用。
    absolute:
    該命令用來指定絕對時(shí)間范圍。它后面緊跟著start和end兩個(gè)關(guān)鍵字。在這兩個(gè)關(guān)鍵字后面的時(shí)間要以24小時(shí)制hh:mm表示,日期要按照日/月/年來表示。如果省略start及其后面的時(shí)間,則表示與之相聯(lián)系的permit或deny語句立即生效,并一直作用到end處的時(shí)間為止。如果省略end及其后面的時(shí)間,則表示與之相聯(lián)系的permit或deny語句在start處表示的時(shí)間開始生效,并且一直進(jìn)行下去。
    periodic
    主要是以星期為參數(shù)來定義時(shí)間范圍的一個(gè)命令。它的參數(shù)主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個(gè)或者幾個(gè)的組合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
    下面以一個(gè)實(shí)例來說明基于時(shí)間的訪問控制表的使用方法。
    在一個(gè)網(wǎng)絡(luò)中,為了網(wǎng)絡(luò)內(nèi)的主機(jī)在工作時(shí)間內(nèi)不能進(jìn)行Web瀏覽,從周一到周五的上午8:00到晚上18:00,不允許任何http訪問,而周六和周日則允許所有的訪問。
    我們通過基于時(shí)間的擴(kuò)展訪問控制列表來實(shí)現(xiàn)這一功能,首先定義一個(gè)在周一至周五上午8:00到晚上18:00的時(shí)間范圍,名稱為“worktime”:
    Lab(config)# time-range worktime
    Lab(config-time-range)# periodic weekdays 8:00 to 18:00
    接下來,定義一個(gè)命名的訪問控制表,名稱為“nohttp”,與前面定義的時(shí)間范圍“worktime”共同作用,禁止該時(shí)間范圍內(nèi)的http協(xié)議:
    Lab(config)# ip access-list extended nohttp
    Lab(config-ext-nacl)# deny tcp any any eq www time-range worktime
    為了能夠在這個(gè)時(shí)間以外,允許所有數(shù)據(jù)包通過,還需要定義一個(gè)允許通過的ACE:
    Lab(config-ext-nacl)# deny ip any any
    最后,將這個(gè)ACL應(yīng)用到路由器的接口上:
    Lab(config)# interface f0/0
    Lab(config-if)# ip access-group nohttp in
    合理有效地利用基于時(shí)間的訪問控制列表,可以更有效、更安全、更方便地保護(hù)我們的內(nèi)部網(wǎng)絡(luò),這樣您的網(wǎng)絡(luò)才會更安全,網(wǎng)絡(luò)管理人員也會更加輕松。
    什么是ACL
    ACL是訪問控制列表的簡稱,它使用濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息,如源地址目的地址源端口、目的端口等,根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾,從而達(dá)到訪問控制的目的。該技術(shù)初期僅在路由器上支持,近些年來已經(jīng)擴(kuò)展到三層交換機(jī),部分最新的二層交換機(jī)也開始提供ACL的支持了。