思科路由器--基于时间的访问列表控制
2010-01-23 11:21:46
 标签: ACL 时间    [ 推送到技术圈]

 我们知道, CISCO 路由器 中的 access-list (访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于源地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。随着网络的发展和用户要求的变化,从 IOS12.0 开始, CISCO 路由器 新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,当然也可以二者结合起来,控制对网络数据包的转发。
  一、使用方法
  这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用。
  二、使用规则
  用 time-range 命令来指定时间范围的名称,然后用 absolute 命令或者一个或多个 periodic 命令来具体定义时间范围。
   IOS 命令格式为:
   time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm
   我们分别来介绍下每个命令和参数的详细情况
   time-range 用来定义时间范围的命令
   time-range-name :时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用
   absolute 该命令用来指定绝对时间范围。它后面紧跟这 start end 两个关键字。在这两个关键字后面的时间要以 24 小时制、 hh:mm (小时:分钟)表示,日期要按照日 / / 年来表示。可以看到,他们两个可以都省略。如果省略 start 及其后面的时间,那表示与之相联系的 permit deny 语句立即生效,并一直作用到 end 处的时间为止;若省略如果省略 end 及其后面的时间,那表示与之相联系的 permit deny 语句在 start 处表示的时间开始生效,并且永远发生作用,当然把访问列表删除了的话就不会起作用了。
  怎么样,看明白了吗?上面讲的就是命令和基本参数为了便于理解,我们看两个例子。
   1 、如果要表示每天的早 8 点到晚 8 点就可以用这样的语句:
   absolute start 8:00 end 20:00
    2 、再如,我们要使一个访问列表从 2000 12 1 日早 5 点开始起作用,直到 2000 12 31 日晚 24 点停止作用,语句如下:
   absolute start 5:00 1 December 2000 end 24:00 31 December 2000
   这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。这对于网络管理员来说,是个很好的事情。如果你恰好是网管。。哇。。。什么也不要讲了,快回去好好配置吧:)。好了接下来,让我们接着看下一个 periodic 命令及其参数。一个时间范围只能有一个 absolute 语句,但是可以有几个 periodic 语句。
   periodic :主要是以星期为参数来定义时间范围的一个命令 。它的参数主要有 Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday 中的一个或者几个的组合,也可以是 daily (每天)、 weekday (周一到周五)或者 weekend (周末)。
  我们还是看几个具体的例子。比如表示每周一到周五的早 9 点到晚 10 点半,就可以用 periodic weekday 9:00 to 22:30 ;每周一早 7 点到周二的晚 8 点就可以用 periodic Monday to Tuesday 20:00 。好了,我们已经把这个时间范围如何定义弄清楚了,下面让我们看看如何在实际情况下应用这种基于时间的访问列表。(看仔细记清楚哦)
  三、应用实例
  例 1
    <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
  在如上图所示的网络中,路由器有两个以太网接口 E0 E1 ,分别连接着 202.111.170.0 202.222.100.0 两个子网络,其中 202.111.170.50 202.222.100.100 分别是 WEB 服务器 1 WEB 服务器 2 。还有一个串口 S0 ,连入 Internet 。为了让 202.111.170.0 子网公司员工在工作时间不能进行 WEB 浏览,从 2000 12 1 1 点到 2000 12 31 日晚 24 点这一个月中,只有在周六早 7 点到周日晚 10 点才可以通过公司的网络访问 Internet( 只有周末才可以访问哦。这样就不用担心某些人上班时间偷着聊天咯 ) 。我们来做如下的基于时间的访问控制列表来实现这样的功能:
   Router# config t
    Router(config)# interface ethernet 0
    Router(config-if)#ip access-group 101 in
    Router(config-if)#time-range http
    Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31
   December 2000 periodic Saturday 7:00 to Sunday 22:00
    Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
   我们是在一个扩展访问列表的基础上再加上时间控制就达到了目的。因为是要控制 WEB 访问的协议,所以必须要用扩展列表,也就是说,编号要在 100-199 之间。这些关于访问列表的基础知识,请参考其他关于 Cisco 或者 CCNA 的基础文档。我们定义了这个时间范围名称是 http ,这样,我们就在列表中的最后一句方便的引用了。有了以上的详细讲解,这个很好看懂了。我们再看下面一个例子。
  
  例 2 :网络结构同上例,现在假设我们的访问要求变了,服务器 WEB2 IP 202.222.100.100 )上放着的是新年贺岁版的公司主页,我们希望在 2001 12 31 24 00 点前, Internet 的用户访问的是服务器 WEB1 IP 202.111.170.50 )上的主页内容,而不能访问 WEB2 上的内容。在此之后的新年里,访问的是新年版主页而不能访问旧版本的主页。那么,我们利用带有时间控制的访问列表来自动实现这个功能,而不用网络管理员再到新年半夜来手动删除 ( 安心在家看春节联欢晚会吧 ^&^) 。列表内容如下:
  
   Router# config t
    Router(config)#interface serial 0
    Router(config-if)#ip access-group web in
    Router(config-if)#
    time-range changeweb absolute end 24:00 31 December 2000
    Router(config-if)#ip access-list extended web
    permit tcp any host 202.111.170.50 eq 80 changeweb
    deny tcp any host 202.222.100.100 eq 80 changeweb
    permit tcp any host 202.222.100.100 eq 80
   好了,我们分析下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表 web ,并且是用在 Serial 0 的入口方向,就是数据流入路由器的时候做协议控制分析。第三句,定义一个时间范围名称是 changeweb 。第四句是定义扩展名称访问列表 web 。第五、六句是表示在新年前,只能允许访问 WEB1 。第七句是允许所有到 WEB2 web 访问。这样第七句不是在没有时间限制的情况下全部允许了 WEB2 的访问吗?那我们的目的是如何实现的呢?不要忘记,路由器中访问控制列表的每个表项的顺序是很重要的,它是从上到下执行的,这样,在新年之前,也就是第五、六句起左右的时候,访问 WEB2 的要求已经被禁止了,所以,第七句就没有用了,而在新年之后呢,第五、六句失效了,第七句才发挥它的作用。允许所有对 WEB2 的访问请求,那么,新年之后,还能访问 WEB1 服务器吗?当然不能,因为我们第七句只允许访问 WEB2 ,隐含的意思就是,其余的全部禁止。
  看到这儿,你不是觉的您的想法都被 CISCO 路由器实现了? 合理有效的利用基于时间的访问控制列表,可以更有效更安全更方便的保护我们的内部网络。这样你的网络才会更安全,网络管理员也会更轻松!