思科路由器--基于時(shí)間的訪問列表控制

2019-11-05 00:20:35

字體：大中小

供稿：網(wǎng)友

　　我們知道，CISCO路由器中的 access-list（訪問列表）最基本的有兩種，分別是標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表，二者的區(qū)別主要是前者是基于目標(biāo)地址的數(shù)據(jù)包過濾，而后者是基于目標(biāo)地址、源地址和網(wǎng)絡(luò)協(xié)議及其端口的數(shù)據(jù)包過濾。

隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，從IOS12.0開始，CISCO路由器新增加了一種基于時(shí)間的訪問列表。通過它，可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，當(dāng)然也可以二者結(jié)合起來，控制對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。
　　一、使用方法
　　這種基于時(shí)間的訪問列表就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中加入有效的時(shí)間范圍來更合理有效的控制網(wǎng)絡(luò)。它需要先定義一個(gè)時(shí)間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。并且，對(duì)于編號(hào)訪問表和名稱訪問表都適用。
　　二、使用規(guī)則
　　用time-range 命令來指定時(shí)間范圍的名稱，然后用absolute命令或者一個(gè)或多個(gè) periodic命令來具體定義時(shí)間范圍。
　　IOS命令格式為：
　　time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm
　　我們分別來介紹下每個(gè)命令和參數(shù)的具體情況
　　time-range ：用來定義時(shí)間范圍的命令
　　time-range-name：時(shí)間范圍名稱，用來標(biāo)識(shí)時(shí)間范圍，以便于在后面的訪問列表中引用
　　absolute：該命令用來指定絕對(duì)時(shí)間范圍。它后面緊跟這start和 end兩個(gè)要害字。在這兩個(gè)要害字后面的時(shí)間要以24小時(shí)制、hh:mm（小時(shí)：分鐘）表示，日期要按照日/月/年來表示。可以看到，他們兩個(gè)可以都省略。假如省略start及其后面的時(shí)間，那表示與之相聯(lián)系的permit 或deny語句立即生效，并一直作用到end處的時(shí)間為止；若省略假如省略end及其后面的時(shí)間，那表示與之相聯(lián)系的permit 或deny語句在start處表示的時(shí)間開始生效，并且永遠(yuǎn)發(fā)生作用，當(dāng)然把訪問列表刪除了的話就不會(huì)起作用了。
　　怎么樣，看明白了嗎？上面講的就是命令和基本參數(shù)為了便于理解，我們看兩個(gè)例子。
　　1、假如要表示天天的早8點(diǎn)到晚8點(diǎn)就可以用這樣的語句：
　　absolute start 8:00 end 20:00
　　2、再如，我們要使一個(gè)訪問列表從2000年12月1日早5點(diǎn)開始起作用，直到2000年12月31日晚24點(diǎn)停止作用，語句如下：
　　absolute start 5:00 1 December 2000 end 24:00 31 December 2000
　　這樣一來，我們就可以用這種基于時(shí)間的訪問列表來實(shí)現(xiàn)，而不用半夜跑到辦公室去刪除那個(gè)訪問列表了。這對(duì)于網(wǎng)絡(luò)治理員來說，是個(gè)很好的事情。假如你恰好是網(wǎng)管。。哇。。。什么也不要講了，快回去好好配置吧：）。好了接下來，讓我們接著看下一個(gè)periodic命令及其參數(shù)。一個(gè)時(shí)間范圍只能有一個(gè)absolute語句，但是可以有幾個(gè)periodic語句。
　　periodic：主要是以星期為參數(shù)來定義時(shí)間范圍的一個(gè)命令。它的參數(shù)主要有賓Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一個(gè)或者幾個(gè)的組合，也可以是daily（天天）、 weekday（周一到周五）或者 weekend（周末）。
　　我們還是看幾個(gè)具體的例子。比如表示每周一到周五的早9點(diǎn)到晚10點(diǎn)半，就可以用periodic weekday 9:00 to 22:30；每周一早7點(diǎn)到周二的晚8點(diǎn)就可以用periodic Monday to Tuesday 20:00。好了，我們已經(jīng)把這個(gè)時(shí)間范圍如何定義弄清楚了，下面讓我們看看如何在實(shí)際情況下應(yīng)用這種基于時(shí)間的訪問列表。（看仔細(xì)記清楚哦）
　　三、應(yīng)用實(shí)例
　　例1
　　

　　在如上圖所示的網(wǎng)絡(luò)中，路由器有兩個(gè)以太網(wǎng)接口E0和E1，分別連接著202.111.170.0和202.222.100.0兩個(gè)子網(wǎng)絡(luò)，其中202.111.170.50和202.222.100.100分別是WEB服務(wù)器1和WEB服務(wù)器2。還有一個(gè)串口S1，連入Internet。為了讓202.111.170.0子網(wǎng)公司員工在工作時(shí)間不能進(jìn)行WEB瀏覽，從2000年12月1日1點(diǎn)到2000年12月31日晚24點(diǎn)這一個(gè)月中，只有在周六早7點(diǎn)到周日晚10點(diǎn)才可以通過公司的網(wǎng)絡(luò)訪問Internet(只有周末才可以訪問哦。這樣就不用擔(dān)心某些人上班時(shí)間偷著聊天咯)。我們來做如下的基于時(shí)間的訪問控制列表來實(shí)現(xiàn)這樣的功能：
　　Router# config t
　　Router(config)# interface ethernet 0
　　Router(config-if)#ip access-group 101 in
　　Router(config-if)#time-range http
　　Router(config-if)#absolute start 1:00 1 December 2000 end 24:00 31
　　December 2000 periodic Saturday 7:00 to Sunday 22:00
　　Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
　　我們是在一個(gè)擴(kuò)展訪問列表的基礎(chǔ)上再加上時(shí)間控制就達(dá)到了目的。
因?yàn)槭且刂芖EB訪問的協(xié)議，所以必須要用擴(kuò)展列表，也就是說，編號(hào)要在100-199之間。這些關(guān)于訪問列表的基礎(chǔ)知識(shí)，請(qǐng)參考其他關(guān)于Cisco或者CCNA的基礎(chǔ)文檔。我們定義了這個(gè)時(shí)間范圍名稱是http，這樣，我們就在列表中的最后一句方便的引用了。有了以上的具體講解，這個(gè)很好看懂了。我們?cè)倏聪旅嬉粋€(gè)例子。
　　
　　例2：網(wǎng)絡(luò)結(jié)構(gòu)同上例，現(xiàn)在假設(shè)我們的訪問要求變了，服務(wù)器WEB2（IP：202.222.100.100）上放著的是新年賀歲版的公司主頁，我們希望在2001年12月31日24：00點(diǎn)前，Internet的用戶訪問的是服務(wù)器WEB1（IP：202.111.170.50）上的主頁內(nèi)容，而不能訪問WEB2上的內(nèi)容。在此之后的新年里，訪問的是新年版主頁而不能訪問舊版本的主頁。那么，我們利用帶有時(shí)間控制的訪問列表來自動(dòng)實(shí)現(xiàn)這個(gè)功能，而不用網(wǎng)絡(luò)治理員再到新年半夜來手動(dòng)刪除(安心在家看春節(jié)聯(lián)歡晚會(huì)吧^&^)。列表內(nèi)容如下：
　　
　　Router# config t
　　Router(config)#interface serial 0
　　Router(config-if)#ip access-group web in
　　Router(config-if)#
　　time-range changewebabsolute end 24:00 31 December 2000
　　Router(config-if)#ip access-list extended web
　　permit tcp any host 202.111.170.50 eq 80 changeweb
　　deny tcp any host 202.222.100.100 eq 80 changeweb
　　permit tcp any host 202.222.100.100 eq 80
　　好了，我們分析下這個(gè)訪問控制列表。第一句是進(jìn)入端口控制模式。第二句是應(yīng)用名稱訪問列表web，并且是用在Serial 0 的入口方向，就是數(shù)據(jù)流入路由器的時(shí)候做協(xié)議控制分析。第三句，定義一個(gè)時(shí)間范圍名稱是changeweb。第四句是定義擴(kuò)展名稱訪問列表web。第五、六句是表示在新年前，只能答應(yīng)訪問WEB1。第七句是答應(yīng)所有到WEB2的web訪問。這樣第七句不是在沒有時(shí)間限制的情況下全部答應(yīng)了WEB2的訪問嗎？那我們的目的是如何實(shí)現(xiàn)的呢？不要忘記，路由器中訪問控制列表的每個(gè)表項(xiàng)的順序是很重要的，它是從上到下執(zhí)行的，這樣，在新年之前，也就是第五、六句起左右的時(shí)候，訪問WEB2的要求已經(jīng)被禁止了，所以，第七句就沒有用了，而在新年之后呢，第五、六句失效了，第七句才發(fā)揮它的作用。答應(yīng)所有對(duì)WEB2的訪問請(qǐng)求，那么，新年之后，還能訪問WEB1服務(wù)器嗎？當(dāng)然不能，因?yàn)槲覀兊谄呔渲淮饝?yīng)訪問WEB2，隱含的意思就是，其余的全部禁止。
　　看到這兒，你不是覺的您的想法都被CISCO路由器實(shí)現(xiàn)了？合理有效的利用基于時(shí)間的訪問控制列表，可以更有效更安全更方便的保護(hù)我們的內(nèi)部網(wǎng)絡(luò)。這樣你的網(wǎng)絡(luò)才會(huì)更安全，網(wǎng)絡(luò)治理員也會(huì)更輕松！

上一篇：智能路由控制簡(jiǎn)介

下一篇：CISCO路由器設(shè)置的連接