通过上述反向ACL的配置,发现网段地址为10.1.1.0/24的计算机不能访问10.2.2.2/24的PC2提供的WWW服务。解决的方法是在含有ESTABLISHED语句前面再添加一个扩展ACL规则,如access-list101permit tcp10.1.1.00.0.0.25510.2.2.20.0.0.0eqWWW。
这样根据“最靠近受控对象原则”,即在检查ACL规则时是自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句,10.1.1.0/24的计算机就可以正常访问该服务器的Web服务了,而后面含有ESTABLISHED语句的防病毒功能还可以正常生效。
再科学合理的访问控制列表规则也会因为未知病毒的传播而无效,因为未知病毒使用的端口是无法预知的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。
7.3.4基于时间的访问控制列表
实际上掌握了上面介绍的几种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过在实际工作中总会有人提出这样或那样的苛刻要求,这时还需要掌握一些关于访问控制列表的高级技巧。基于时间的访问控制列表就属于高级技巧之一。
(1)基于时间的访问控制列表用途
可能公司会遇到这样的情况,要求上班时间不能使用QQ,下班时间可以使用,或者周一到周五不能访问某网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工违规使用的问题的,而此时基于时间的ACL列表正好派上用场。
(2)基于时间的访问控制列表的格式
基于时间的ACL列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。这里主要讲解定义时间段,具体格式如下:
time-range时间段名称
absolute start[小时:分钟][日 月年][end][小时:分钟][日 月年]
例如:time-range control
absolute start0:001April2005 end12:001April2009
其含义是定义了一个时间段,名称为control,并且设置了这个时间段的起始时间为2005年4月1日零点,结束时间为2009年4月1日中午12点。通过这个时间段和扩展ACL的规则结合就可以设定出针对自己公司时间段开放的基于时间的ALC列表了。当然也可以定义工作日和周末,具体要使用periodic命令,这将在下面的配置实例中详细介绍。
(3)基于时间的ACL列表配置实例
要想使基于时间的ACL列表生效需要配置三方面的命令:定义时间段及时间范围;ACL自身的配置,即将详细的规则添加到ACL中;宣告ACL,将设置好的ACL添加到相应的端口中。
路由器连接了两个网段,分别为10.1.1.0/24,10.2.2.20/24。在10.2.2.0/24网段中有一台服务器提供FTP服务,IP地址为10.2.2.2。
配置任务:只允许10.1.1.0网段的用户在周末访问10.2.2.2上的FTP资源,工作时间不能下载该FTP资源。
路由器配置命令如下:
time-range control:定义时间段名称为control。
periodic Weekend00:00to23:59:定义具体时间范围为每周周末(六,日)的0点到23点59分。当然可以使用periodic Weekdays定义工作日或跟星期几定义具体的周几。
access-list101deny tcp any10.2.2.20.0.0.0eq ftp time-range control:设置ACL,禁止在时间段 control 范围内访问10.2.2.2的FTP服务access-list101permit ip any any、设置ACL,允许其他时间段和其他条件下的正常访问。
int fa0/1//进入fa0/1端口
ip access-group101out//通告ACL101
基于时间的ACL列表比较适合于时间段的管理,通过上面的设置10.1.1.0的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问。
7.3.5访问控制列表流量记录
网络管理员要能够合理地管理公司的网络,需要有效地记录ACL流量信息,第一时间了解网络流量和病毒的传播方式。下面简单介绍如何保存访问控制列表的流量信息,方法就是在扩展ACL规则最后加上LOG命令。
实现方法:
log10.2.2.2为路由器指定一个日志服务器地址,该地址为10.2.2.2access-list101permit tcp any10.2.2.20.0.0.0eq WWW log
在希望监测的扩展ACL最后加上LOG命令,这样就会把满足该条件的信息保存到指定的日志服务器10.2.2.2中。
提示:如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存。
使用LOG记录了满足访问控制列表规则的数据流量,可以完整地查询公司网络哪个地方流量大,哪个地方有病毒了。简单的一句命令就完成了很多专业工具才能完成的工作。
7.4实训任务
模拟企业网络,根据不同要求完成扩展访问控制列表的配置任务。
任务1:只允许10.1.1.0/24网段的用户在周末访问192.168.2.2/24上的FTP资源,工作时间(星期一到星期五8∶30-11∶30,13∶30-17∶30)不能下载该 FTP 资源。
任务2:禁止10.2.2.0/24的计算机访问192.168.1.0/24的计算机,不过唯独可以访问192.168.1.2/24上的Web服务,而其他服务不能访问。
任务3:禁止10.1.1.0/24和10.2.2.0/24网段的用户在工作时间(星期一到星期五8∶30-11∶30,13∶30-17∶30)里进行QQ聊天和联众游戏。QQ聊天使用的端口号为:UDP8000-8001,UDP4000-4001,TCP433;联众游戏使用的端口号为TCP1080。
7.5实训步骤
7.5.1网络拓扑
路由器采用Cisco2621。
7.5.2地址分配
7.5.3任务1分析
要求的ACL源IP为网络10.1.1.0/24,对应Router1;目标IP为192.168.2.2/24,对应Router2。工作时间(星期一到星期五8∶30~11∶30,13∶30~17∶30)不能下载该 FTP 资源,可以参考基于时间的ACL配置实例。ACL宿主路由器应该选择Router2,不过答案不唯一。
具体配置不再介绍。
7.5.4任务2分析
要求的ACL源IP为网络10.2.2.0/24,对应Router1;目标 IP为网络192.168.1.0/24,对应Router2。要求与前面扩展ACL配置实例非常相似,具体配置不再介绍。
7.5.5任务3分析
这个访问控制列表综合了反向ACL列表和基于时间的ACL列表两项内容,配置时需要多作几条ACL,具体配置不再介绍。
7.6实训思考
标准ACL列表和扩展ACL列表有什么区别?