Cisco路由器中有兩種常用訪問控制列表(Access-List),一種是標準訪問列表,另一種是擴展訪問列表。前者主要用于基于源和目標地址的數據包過濾,而后者用于基于目標地址、源地址和網絡協議及其端口號等的數據包過濾。隨著網絡技術的發展和用戶要求的變化,從IOS 12.0開始,Cisco路由器新增加了一種基于時間的訪問控制。通過它,可以根據一天中不同時間或者根據一周中的不同日期(當然也可以二者結合起來)控制網絡數據包的轉發,給網管人員的日常維護帶來很大便利。
這種基于時間的訪問列表是在原來標準訪問列表和擴展訪問列表中加入有效的時間范圍來更合理有效地控制網絡的。它先定義一個時間范圍,然后在原來的各種訪問列表的基礎上應用它,對于編號訪問表和名稱訪問表均適用。
命令及參數
可以用“time-range”命令來指定時間范圍的名稱,然后用“absolute”命令或者一個或多個 “periodic”命令來具體定義時間范圍,IOS命令格式為:
time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm |
time-range:用來定義時間范圍;
time-range-name:時間范圍名稱,用來標識時間范圍,以便在后面的訪問列表中引用;
absolute:該命令用來指定絕對時間范圍。它后面緊跟start和 end兩個關鍵字。在兩個關鍵字后面的時間要以24小時制和“hh: mm(小時:分鐘)”表示,日期要按照“日/月/年”形式表示。這兩個關鍵字也可以都省略。如果省略start及其后面的時間,表示與之相聯系的permit 或deny語句立即生效,并一直作用到end處的時間為止; 若省略end及其后面的時間,表示與之相聯系的permit 或deny語句在start處表示的時間開始生效,并且永遠發生作用(當然如把訪問列表刪除了的話就不會起作用了)。
為了便于理解,下面看兩個例子。 如果要表示每天早8點到晚6點開始起作用,可以用這樣的語句:
absolute start 8∶00 end 18∶00
再如,我們要使一個訪問列表從2003年1月1日早8點開始起作用,直到2003年1月10日晚23點停止作用,命令如下:
absolute start 8∶00 1 January 2003 end 23∶00 10 January 2003
這樣我們就可以用這種基于時間的訪問列表來實現,而不用半夜跑到辦公室去刪除那個訪問列表了。接下來,介紹一下periodic命令及其參數。
一個時間范圍只能有一個absolute語句,但是可以有幾個periodic語句。
periodic:主要以星期為參數來定義時間范圍。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
我們還是來看幾個具體的例子。比如表示每周一到周五的早9點到晚10點半,命令如下:
periodic weekday 9∶00 to 22∶30
每周一早7點到周二的晚8點可以這樣表示:
periodic Monday to Tuesday 20∶00
在把時間范圍定義清楚后,我們來看看如何在實際情況下應用這種基于時間的訪問列表。
實例分析
在上圖所示的網絡中,路由器有兩個以太網接口E0和E1,分別連接著202.111.170.0和202.222.100.0兩個子網絡,其中202.111.170.50和202.222.100.100分別是Web服務器1和Web服務器2。還有一個串口S1,連入Internet。為了讓202.111.170.0子網的公司員工在工作時間不能進行Web瀏覽,從2000年12月1日1點到2000年12月31日晚24點這一個月中,只有在周六早7點到周日晚10點才可以通過公司的網絡訪問Internet。我們做如下的基于時間的訪問控制列表來實現這樣的功能:
Router# config t Router(config)# interface ethernet 0 Router(config-if)#ip access-group 101 in Router(config-if)#time-range http Router(config-if)#absolute start 1∶00 1 December 2000 end 24∶00 31 December 2000 periodic Saturday 7∶00 to Sunday 22∶00 Router(config-if)#ip access-list 101 permit tcp any any eq 80 http |
網絡結構同上例,現在假設我們的訪問要求變了,Web服務器2(IP:202.222.100.100)上放著新年賀歲版的公司主頁,希望在2001年12月31日24點前,Internet的用戶訪問的是服務器Web1(IP:202.111.170.50)上的主頁內容,而不能訪問Web2上的內容。在此之后的新年里,訪問的是新年版主頁而不能訪問舊版本的主頁。下面,我們利用帶有時間控制的訪問列表來自動實現這個功能,而不必讓網管員在新年半夜時手動刪除。列表內容如下:
Router# config t Router(config)#interface serial 0 Router(config-if)#ip access-group web in Router(config-if)# time-range changewebabsolute end 24∶00 31 December 2000 Router(config-if)#ip access-list extended web permit tcp any host 202.111.170.50 eq 80 changeweb deny tcp any host 202.222.100.100 eq 80 changeweb permit tcp any host 202.222.100.100 eq 80 |
第一句是進入端口控制模式。第二句是應用名稱訪問列表Web,并且是用在Serial 0的入口方向,即數據流入路由器的時候做協議控制分析。第三句定義一個時間范圍名稱changeweb。第四句定義擴展名稱訪問列表Web。第五、六句表示在新年前,只能允許訪問Web1。第七句是允許所有到Web2的Web訪問。表面看來第七句是在沒有時間限制的情況下全部允許Web2的訪問請求。實際上,路由器中訪問控制列表的每個表項的順序是很重要的,它是從上到下執行的,在新年之前,也就是第五、六句起左右的時候,訪問Web2的請求已經被禁止了,所以,第七句就沒有用了,而在新年之后第五、六句失效了,第七句才發揮它的作用,允許所有對Web2的訪問請求。
看到這兒,讀者是否感覺到這種方法的作用了?合理有效地利用基于時間的訪問控制列表,可以更有效、更安全、更方便地保護我們的內部網絡,這樣您所在的網絡才會更安全,網絡管理員也會更輕松!
