第9章访问列表高级应用.pptx

第九章第九章 访问访问列表高级应用列表高级应用问题情景与案例提出基于时间的访问控制列表应用某公司经理最近发现，有些员工在上班时间经常上网浏览与工作无关的网站，影响了工作，因此他通知网络管理员，在网络上进行设置，在上班时间只允许浏览与工作相关的几个网站，禁止访问其它网站。本案例以1台S2126G交换机和1台R2624路由器为例。PC机的IP地址和缺省网关分别为172.16.1.1/24和172.16.1.2/24，服务器（Server）的IP地址和缺省网关分别为160.16.1.1/24 和160.16.1.2/24，路由器的接口F0和F1的IP地址分别为172.16.1.2/24 和160.16.1.2/24。拓扑结构如图9-1所示。23相关知识41基于时间的访问控制列表概述访问控制表(ACL)实际上是在路由器或三层交换机上实现的根据数据报文的内容进行的过滤行为。路由器或者三层交换机根据报文的特征以及ACL中所定义的策略，决定将该报文进行转发或者丢弃。常用的访问控制表通常是根据IP数据包的源地址、目标地址、协议类型等来进行配置。基于时间的访问控制表可以根据一天中的不同时间或一星期中的不同日期、或二者相结合来控制网络数据包的转发。这种基于时间的访问控制表，就是在原来的标准访问控制表和扩展访问控制表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。相关知识52基于时间的访问控制列表配置基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用定义规则。从特权模式开始，您可以通过以下步骤来设置一个 Time-Range：absolute：该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这两个关键字后面的时间要以24小时制hh:mm表示，日期要按照日/月/年来表示。如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。如果省略end及其后面的时间，则表示与之相联系的permit或deny语句在start处表示的时间开始生效，并且一直进行下去。Periodic：主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily(每天)、weekday(周一至周五)，或者weekend(周末)。相关知识6案例实施7问题情景与案例提出专家级的访问控制列表应用出于安全考虑，某企业网络管理员需要按物理地址及网络地址禁止某些主机访问某服务器，但允许其他主机访问，现在需要在交换机上做相应配置。本案例以1台S2126G交换机和1台R2624路由器为例。PC1和PC2的IP地址分别为172.16.1.1/24 和172.16.1.3/24，缺省网关为172.16.1.2/24，服务器（Server）的 IP地 址 和 缺 省 网 关 分 别 为160.16.1.1/24 和160.16.1.2/24，路由器的接口F0和 F1的 IP地 址 分 别 为 172.16.1.2/24 和160.16.1.2/24。拓扑结构如图9-2所示。89相关知识101专家级的访问控制列表概述专家级访问控制列表可以利用MAC地址、IP地址、VLAN号、传输端口号、协议类型、时间ACL等元素进行灵活组合，定义规则。从而更加灵活的控制网络的流量，保证网络的安全运行。Expert 扩展访问列表（编号 2700-2899）为基本访问列表和 MAC 扩展访问列表的综合体，并且能对 VLAN ID进行过滤。相关知识112专家级的访问控制列表的配置方式一：在全局配置模式下执行以下命令：相关知识122专家级的访问控制列表的配置方式二，在ACL配置模式下执行以下命令：案例实施13