演示:帶時間acl的配置
在某些環境中,可能會出現這樣一種需求:在每個工作日(星期一到星期五)的8:30-17:30可以訪問公司內部的某些服務,下班後和非工作日則不能訪問。在這種情況下標準的acl和擴充套件的acl就無法滿足控制需求,所以這裡產生了帶時間的訪問控制列表,帶時間的訪問控制列表從使用原則與語法上講與基礎acl沒有太大區別,區別在於它能使控制策略在不同的時間段生效。
配置帶時間acl的注意事項:
n配置帶時間的acl必須保證網路上的時鐘是同步,可以分別到路由器設定時間,也可以通過ntp(網路時鐘協議)來同步網路中的時間。
n配置帶時間的acl,必須要建立時間表。
n配置acl的控制語句,然後將建立的時間表關聯到acl上。
演示:帶時間acl的配置
演示目標:配置帶時間的acl
演示環境:如下圖10.17所示的演示環境。
演示背景:公司有提供兩種web服務,乙個是基於眾所周知80號埠的web服務,乙個是基於tcp8001埠的web服務。要求主機a在每個工作日(星期一到星期五)的8:30-17:30可以訪問公司基於眾所周之埠號80的web服務,但是不允許訪問tcp埠是8001的web服務,在非工作時間(星期一到星期五的17:31-8:29,星期六和星期天的全天)才可以訪問tcp埠是8001的web服務,但是不能訪問公司基於眾所周知的web服務,任何時間都可以訪問dns伺服器,請使用帶時間的acl完成上述的控制要求。
演示步驟:
第一步:首先是為網路配置時鐘同步,在路由器r1上配置時鐘源,然後將其配置成時鐘伺服器既ntp伺服器。最後路由器r2通過時鐘伺服器r1進行時鐘同步,具體配置如下所示:
配置路由器r1的時鐘源:
r1#clock set 00:52:30 18 jun 2012 *
配置路由器r1的時間(寫作時的時間)
r1(config)#ntp master *
配置路由器r1為ntp伺服器。
r1(config)#ntp source ethernet 1/1 *
指示ntp的更新源介面為路由器r1的e1/1。
配置路由器r2從ntp伺服器獲得時間同步:
r2(config)#ntp server 192.168.2.1 *
申明ntp
伺服器的
ip位址
(路由器r1的
e1/1)
第二步:確保在沒有配置acl之前,主機a可以任意的訪問192.168.3.100的各項服務,現在根據演示背景的要求,主機a在每個工作日(星期一到星期五)的8:30-17:30可以訪問公司基於眾所周之埠號80的web服務,但是不允許訪問tcp埠是8001的web服務,在非工作時間(星期一到星期五的17:31-8:29,星期六和星期天的全天)才可以訪問tcp埠是8001的web服務,但是不能訪問公司基於眾所周知的web服務,任何時間都可以訪問dns伺服器,具體的配置如下:
在路由器r1上配置帶時間的acl:
r1(config)#time-range workday *
命名乙個叫做「workday」的時間段。
r1(config-time-range)# ? *
time range configuration commands:
absolute absolute time and date *
配置絕對時間的關鍵字
default set a command to its defaults
exit exit from time-range configuration mode
no negate a command or set its defaults
periodic periodic time and date *
配置週期時間的關鍵字
絕對時間指乙個具體的開始時間到乙個明確的結束時間,絕對時間不具備復用性;週期時間,則具備復用性。在該演示環境中,使用週期時間來完成時間配置,具體配置如下:
r1(config-time-range)#periodic weekdays 08:30 to 17:30
* 配置可訪問的工作日週期時間,關鍵字weekdays指示工作日(星期一到星期五)。
r1(config)#time-range noworkday *
配置乙個叫做noworkday非工作時間的時間段。
r1(config-time-range)#periodic weekdays 17:31 to 23:59
* 配置星期一到星期五的17:31 到23:59的非工作時間週期。
r1(config-time-range)#periodic weekdays 00:00 to 8:29
* 配置星期一到星期五的00:00 到 8:29的非工作時間週期。
r1(config-time-range)#periodic weekend 00:00 to 23:59
* 配置週末的非工作時間,weekend表示週末。
ip access-listextended filter *
建立乙個名叫「filter」的擴充套件控制列表。
permit udp host 192.168.1.2 host 192.168.3.100eq domain
* 任何時間都可以訪問dns服務,該語句沒有必要帶上時間段。
permit tcp host 192.168.1.2 host 192.168.3.100eq www time-range workday
* 允許工作時間訪問基於眾所周知埠號的web服務。關聯工作時間段「workday」。
deny tcp host 192.168.1.2 host 192.168.3.100 eq 8001 time-range workday
* 不允許工作時間訪問基於tcp 8001埠的web服務,關聯工作時間段「workday」。
permit tcp host 192.168.1.2 host192.168.3.100 eq 8001 time-range noworkday
* 允許非工作時間訪問基於tcp 8001埠的web服務。關聯非工作時間段「noworkday」。
deny tcp host 192.168.1.2 host 192.168.3.100 eq wwwtime-range noworkday
* 不允許非工作時間訪問眾所周知埠號的web服務,關聯非工作時間段「noworkday」。
r1(config)#inte***cee1/0
r1(config-if)#ipaccess-group filter in *
將帶時間的acl應用到r1的e1/0入方向
r1(config-if)#exit
第三步:現在開始測試帶時間的acl是否生效,目前主機192.168.1.2上訪問192.168.3.100的各項服務,現在根據演示背景的要求在r1上通過show ip access-lists檢視帶時間acl對資料報的匹配如下圖10.18所示。
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
ACL的原理與基本ACL的配置
acl access control list 訪問控制列表,在路由器介面上使用的規則列表。規則 匹配資料報,實現資料報的控制 過濾或放行 作用 動作 permit允許,deny拒絕。acl讀取第三層 ip 和第四層 tcp udp 的頭部資訊 源ip,目標ip,源埠,目標埠,然後根據預先定義好的規...