两极人生,八度空间
Fight for my CISSP and PMP
首页
新随笔
联系
聚合
管理
156 Posts :: 22 Stories :: 67 Comments :: 0 Trackbacks
常用链接
我的随笔
我的评论
我参与的随笔
留言簿
(12)
给我留言
查看公开留言
查看私人留言
随笔分类
(155)
Access Control(2)
Anti-Virus Application(3)
Backup and Recovery Project(4)
Business Continuity and Disaster Recovery Planning
Cisco Network Technology(30)
Cryptography
Data Storing Technology(6)
Fieldbus and Industry Enthernet(1)
IT governance and Risk Management
Legal, Regulations, Compliance and Investigations
My words(3)
Network simulators(8)
Operations Security
Optimizing Converged Cisco Networks
PC, Workstation and Server troubleshooting(23)
Physical Environment Security
Project Deployment(22)
Project Management
Redhat Linux (5)
Remote Access Solution(1)
Security Architecture and Design
Server management (12)
Technology Certification(15)
Telecommunication and Network Security(18)
Unix System Introduction And Applying
Website Technology(2)
随笔档案
(156)
2011年10月 (6)
2010年6月 (5)
2010年5月 (1)
2010年4月 (3)
2010年3月 (1)
2009年7月 (1)
2009年6月 (1)
2009年3月 (3)
2009年2月 (1)
2009年1月 (1)
2008年12月 (4)
2008年10月 (3)
2008年6月 (4)
2008年5月 (2)
2008年4月 (6)
2008年3月 (7)
2008年1月 (5)
2007年12月 (1)
2007年11月 (1)
2007年10月 (1)
2007年9月 (5)
2007年8月 (14)
2007年7月 (5)
2007年6月 (8)
2007年5月 (3)
2007年4月 (10)
2007年3月 (13)
2007年2月 (15)
2007年1月 (26)
文章分类
(22)
博笑一域
哲理参悟(3)
好文共赏(2)
学习心得(1)
家常美食(13)
日英面试(2)
生活杂感
益智活动(1)
文章档案
(22)
2009年2月 (1)
2008年4月 (1)
2007年9月 (1)
2007年5月 (9)
2007年3月 (4)
2007年2月 (5)
2007年1月 (1)
相册
工作之余
收藏夹
(3)
网络技术讨论(3)
Cisco技术培训
上海央邦IT实验室
CCNP新版电子教材
Cisco track system online
Cisco及华为技术网
cisco官方网站
IT专家网
Openlab training center
IT同行者之路
Blushin's Home
Dinamips original designer
xiaolour's blog
兜兜的博客
陈志敏的Blog
鸟哥的Linux私房菜
日语学习
NHK网站
咖啡日语论坛
沪江日语
论坛集锦
51CTO技术社区
7200emu
IT power source
IT俱乐部
Linux 论坛
Microsoft TechNet
MSOTEC
Netbuddy
oracle 技术论坛
OSPF网络社区
SAP之家
Windows中文站
中国IT实验室
中国成都思科华为网络技术论坛
中国计算机安全
动网官方论坛
北零社区
华安信达-信息安全专业论坛
国际信息安全学习联盟
工大瑞普
工大瑞普Cisco网络技术论坛
无忧软件论坛
无锡新区家园论坛
红科网安
网络分析专家
网络模拟器(netemu)论坛
做最好的网络模拟器论坛
西部互联
誉天教育
黑白前线
软件下载站
Easy CD 分享
分享家
动网下载
学生大软件站
源动力下载
飞翔下载
最新随笔
1. How PPT works?
2. CISSP考试应该注意的问题
3. Dynamips支持的模块说明
4. Install Loopback Interface for Window7 Platform
5. Dynamips模拟的交换机不能创建VLAN问题
6. Change ACS IP Address on VMware Platform
7. How to solve the issue that the ePO V4.5 can't detect the SQL Server
8. The issue of McAfee ePO V4.5 SP1 working with Multiple NICs
9. How to install McAfee VirusScan Enterprise (VSE) v8.7 on standalone server by command line
10. ePO Failed to enumerate domains, authentication required
搜索
积分与排名
积分 - 199295
排名 - 29
最新评论
1. re: pemu下Cisco ASDM的安装
我家的java没路径
--chendeng
2. re: The solutions for Add-ins problem for Microsoft Outlook 2007
哇,高手啊
--乐你思
3. re: Troubleshooting for DHCP Client Issue
英文操作系统?
--gucci
4. re: PEMU综合实验
@笑迎人生
我用的pix使用pemu模拟的。可以根据自己要求桥接pix的interface 到你的本机的Microsoft loopback网卡上去。我没用过小凡的那个GUI工具。
--Jason Tan
5. PEMU综合实验
非常经典,应该是一个企业典型案例,得好好学习; 请教博主,如何用小凡模拟PIX,现在我做实验是一个PIX打包好的,不能根据需求自己添加,谢谢指教。
--笑迎人生
6. re: windows域中时间同步的解决方案[未登录]
请帮我把这篇文档转发到我的邮箱(hanson.han@gmail.com),这里引用的图片都已经看不到了。
万分感谢~~~
--hanson
7. re: windows 2003域信任相关的几点
此文章多数要点一带而过,根本没有意义所在
--tony
8. re: Cisco考试再认证常见32问解答
评论内容较长,点击标题查看
--xandy
9. re: 基于时间的访问列表的应用-ACL高级技巧之一
楼主历害,学习啦!
--赵宏胜
10. re: 访问列表学习总结
Jerome 说的不错
--虚拟主机
阅读排行榜
1. 135 137 138 139 445 端口简介(13334)
2. Redhat Linux如何安装软件(10273)
3. windows域中时间同步的解决方案(7566)
4. 重新安装系统时出现无法复制系统文件(5600)
5. 软阵列和硬阵列之优缺点(4700)
6. xp用户如何关闭135和139这两个危险端口(4670)
7. 什么是SAP系统,关于SAP的故事 (4660)
8. 安全控管的協定-TACACS+(4092)
9. RAID配置全程 (3789)
10. 如何在cisco router完美删除单条ACL?(3422)
基于时间的访问列表的应用-ACL高级技巧之一
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,具体可参考CCNA基础文档。从
IOS12.0
开始,CISCO路由器新增加了一种
基于时间的访问列表
。通过它,可以根据不同日期的不同时间段来控制对网络数据包的转发。
一、使用方法
这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入
有效的时间范围
来更合理有效的控制网络。它需要
先定义一个时间范围
,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用。
二、使用规则
用time-range 命令来指定时间范围的名称,然后用absolute命令或者一个或多个 periodic命令来具体定义时间范围。
IOS命令格式为:
time-range
time-range-name
absolute
[
start
time date
] [
end
time date
]
periodic
days-of-the week hh:mm to [days-of-the week] hh:mm
每个命令和参数的详细情况介绍如下:
time-range : 用来定义时间范围的命令
time-range-name
:
时间范围名称
,用来
标识时间范围
,以
便于
在后面的
访问列表中引用
absolute: 该命令用来指定绝对时间范围
。它后面
紧跟这start和 end两个关键字
。在这两个关键字后面的时间要以
24小时制
、
hh:mm(小时:分钟)表示
,
日期
要按照
日/月/年
来表示。可以看到,他们两个可以都省略。如果省略start及其后面的时间,那表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止;若省略如果省略end及其后面的时间,那表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且永远发生作用,当然把访问列表删除了的话就不会起作用了。
怎么样,看明白了吗?上面讲的就是命令和基本参数为了便于理解,我们看两个例子。
1、如果要表示每天的早8点到晚8点就可以用这样的语句:
absolute start 8:00 end 20:00
2、再如,我们要使一个访问列表从2007年6月19日早8点开始起作用,直到2007年6月30日晚24点停止作用,语句如下:
absolute start 8:00 19 June 2007 end 24:00 30 June 2007。这对于网络管理员来说,是个很好的事情。哪periodic命令及其参数如何应用呢?注意:一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要是以星期为参数来定义时间范围的一个命令。
它的参数主要由星期名称Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合,也可以是daily(每天)、 weekday(周一到周五)或者 weekend(周末)。
用具体实例说明。比如表示每周一到周五的早8点半到晚10点半,就可以用periodic weekday 8:30 to 22:30;每周一早7点到周二的晚8点就可以用periodic Monday to Tuesday 20:00。到此,我们已经把这个时间范围如何定义弄清楚了,下面让我们看看如何在实际情况下应用这种基于时间的访问列表。
三、应用实例
例1:在如上图所示的网络中,路由器有两个以太网接口E0和E1,分别连接着202.111.170.0和202.222.100.0两个子网络,其中202.111.170.50和202.222.100.100分别是WEB服务器1和WEB服务器2。还有一个串口S1,连入Internet。为了让202.111.170.0子网公司员工在工作时间不能进行WEB浏览,从2000年12月1日1点到2000年12月31日晚24点这一个月中,只有在周六早7点到周日晚10点才可以通过公司的网络访问Internet(只有周末才可以访问哦。这样就不用担心某些人上班时间偷着聊天咯)。我们来做如下的基于时间的访问控制列表来实现这样的功能:
Router# config t
Router(config)# interface ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range
webbrowse
Router(config-if)#absolute
start
1:00 1 December 2000
end
24:00 31
December 2000
periodic
Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80
webbrowse
我们是在一个
扩展访问列表的基础上再加上时间控制
就达到了目的。在列表中的最后一句方便的引用了。
例2:网络结构同上例,现在假设我们的访问要求变了,服务器WEB2(IP:202.222.100.100)上放着的是新年贺岁版的公司主页,我们希望在2007年12月31日24:00点前,Internet的用户访问的是服务器WEB1(IP:202.111.170.50)上的主页内容,而不能访问WEB2上的内容。在此之后的新年里,访问的是新年版主页而不能访问旧版本的主页。这种需求,可利用带有时间控制的访问列表来自动实现这个功能。列表内容如下:
Router# config t
Router(config)#interface serial 0
Router(config-if)#ip access-group
web
in
Router(config-if)#
time-range
changeweb
absolute
end
24:00 31 December 2007
Router(config-if)#ip access-list extended
web
permit tcp any host 202.111.170.50 eq 80
changeweb
deny tcp any host 202.222.100.100 eq 80
changeweb
permit tcp any host 202.222.100.100 eq 80
分析下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表web,并且是用在Serial 0 的入口方向,就是数据流入路由器的时候做协议控制分析。第三句,定义一个时间范围名称是changeweb。第四句是定义扩展名称访问列表web。第五、六句是表示在新年前,只能允许访问WEB1。第七句是允许所有到WEB2的web访问。这样第七句不是在没有时间限制的情况下全部允许了WEB2的访问吗?那我们的目的是如何实现的呢?不要忘记,路由器中访问控制列表的每个表项的顺序是很重要的,它是从上到下执行的,这样,在新年之前,也就是第五、六句起左右的时候,访问WEB2的要求已经被禁止了,所以,第七句就没有用了,而在新年之后呢,第五、六句失效了,第七句才发挥它的作用。允许所有对WEB2的访问请求,那么,新年之后,还能访问WEB1服务器吗?当然不能,因为我们第七句只允许访问WEB2,隐含的意思就是,其余的全部禁止。
合理有效的利用基于时间的访问控制列表,可以更有效更安全更方便的保护我们的内部网络。
posted on 2007-06-14 15:27
Jerome
阅读(895)
评论(2)
编辑
收藏
引用
所属分类:
Cisco Network Technology
Feedback
#
re: 基于时间的访问列表的应用-ACL高级技巧之一
2007-06-20 18:07
股评168
非常有用,谢谢!!
回复
更多评论
#
re: 基于时间的访问列表的应用-ACL高级技巧之一
2009-05-18 06:41
赵宏胜
楼主历害,学习啦!
回复
更多评论
刷新评论列表
只有注册用户
登录
后才能发表评论。
Powered by:
IT博客
Copyright © Jerome