Cisco访问表配置指南-第5章 基于时间的访问表


下载 第5章 基于时间的访问表 本章讨论C i s c o访问表的一个相对新一些的特征,这个新特征可以基于时间段(一天中的 某段时间,一个星期中的某几天,或两者兼而有之)来实现访问表。第1章中提到过,在 I O S 版本1 2 . 0以前,没有什么简单的方法可以基于时间或日期来改变访问表。当然,可以建立多 个访问表,将其存储在路由器中,在星期五的晚上移去一个已存在的访问表,并应用一个新 的替代者,但这毕竟不是一种吸引人的方法。同样,在星期一的一大早就要赶到办公室来进 行相反的过程也令人难受。 C i s c o从I O S版本1 2 . 0开始引入基于时间的访问表,这类访问表解 决了这个问题。与其他特征不一样,基于时间的访问表被所有的 Cisco IOS平台所支持。 我们将首先对本章的理论基础进行一个概述,然后讲述几个配置示例。最后,我们将给 出一系列的基于时间的访问表的示例。 5.1 理论基础 使用基于时间的访问表的主要目的是根据一天中的不同时间,或者根据一星期中的不同 天,或者二者的结合,来控制对网络资源的访问。基于时间的访问表允许网络管理员对流入 网络和流出网络的数据进行附加的控制。网络管理员对周末或工作日中的不同时间段定义不 同的安全策略。另外,这种基于时间的数据流过滤实现方法使得网络管理员对组织中的策略 和过程更具有敏感性。例如,某些组织可能希望所有的或特殊的雇员在通常的业务时间之后 可以进行We b冲浪。基于时间的访问表使得满足组织的这种需求变得容易。基于时间的访问 表的另一个示例是在不同的时间段内通过服务类型( type of service, TO S)域改变数据流。读 者还可以使用基于时间的访问表来控制日志消息,以记录不同时间段的行为。这样,基于时 间的访问表提供了一种改变报文过滤的机制,它能够满足公司的某些需要。 5.2 概述 基于时间的访问表对于编号访问表和命名访问表都适应。实现基于时间的访问表只需要 两个简单的步骤。首先,要定义一个时间范围。定义完时间范围之后,就可以在访问表中用 t i m e -范围引用时间范围。 5.2.1 定义时间范围 定义时间范围又分为两个步骤。首先,要使用 t i m e - r a n g e命令来正确地指定时间范围。然 后,需要使用a b s o l u t e或者一个或多个p e r i o d i c语句来定义时间范围。其I O S命令的格式如下: 此处,各域的意义如下: t i m e - r a n g e - n a m e 用来标识时间范围的,以便在访问表中进行引用的名称。第 5章 基于时间的访问表 49下载 t i m e 以小时和分钟方式(h h : m m)输入的时间。 d a t e 以日/月/年方式输入的日期。 d a y s - o f - t h e - w e e k 产生作用的某天或某几天;其参数可以是单一的天(如 M o n d a y), 某几天(M o n d a y, Friday),或d a i l y、w e e k d a y s或w e e k e n d。 为了更好地理解t i m e - r a n g e命令,以及在a b s o l u t e和p e r i o d i c语句中对不同变量的使用,下 面我们将对命令和各语句进行详细阐述。 5.2.2 time-r a n g e命令 t i m e - r a n g e命令用来将名字与使用一个 a b s o l u t e或者一个或多个p e r i o d i c语句定义的时间范 围联系起来。如果要将时间范围命名成 a l l o w - h t t p,则应以如下方式使用t i m e - r a n g e命令: 一旦使用了t i m e - r a n g e命令,并且为该范围指定了名称,就可以使用 a b s o l u t e和/或p e r i o d i c 语句定义与名称相关联的时间范围了。现在,我们开始分别阐述这些语句。 5.2.3 absolute语句 a b s o l u t e语句指定绝对时间范围。 a b s o l u t e关键字之后紧跟着 s t a r t关键字和e n d关键字。如 果读者希望访问表中相关的 p e r m i t或d e n y语句生效,则s t a r t和e n d之后应紧跟开始和结束时间。 要记住的是时间以2 4小时的格式指定,而日期用日 /月/年格式表示。因北美通用的时间格式为 月/日/年,所以很容易输入错误的日期。所以,用户要注意格式的正确性。如果读者去掉了 s t a r t或e n d日期,则当去掉开始日期时,与之相联系的 p e r m i t或d e n y语句会立即产生作用;而 当去掉的是结束日期时,则与之相联系的 p e r m i t或d e n y语句会永远产生作用。这些情形可能都 不是我们所希望的。因此,每一条语句的格式,以及每一个变量的输入方式都十分重要。 为了说明a b s o l u t e命令的使用方式,假设我们只在5:00 p.m.到7:00 a.m.之间允许H T T P流量, 则可以使用a b s o l u t e语句建立下面的时间范围: 在本示例中,时间范围为每一天的5:00 p.m.到7:00 a.m.,除此之外没有其他的限制。这样, 除非手工删除,该时间范围将一直保持有效。 上述的示例中,除非手工改变,否则时间范围一直有效。现在我们假设这样一种情况: 读者计划去度假,因此希望在 7月1 9日的早上7 : 0 0自动删除时间范围产生的效果,而不用回到 办公室去做这件工作。假设今天是 6月1日,而读者希望该语句在下午 5 : 0 0产生作用。则 a b s o l u t e语句将变成: 5.2.4 规则 与其他I O S语句一样,使用绝对开始和结束变量必须遵循一定的规则。其中一个规则是前 面提到的s t a r t或e n d关键字与时间、日期的联系。另一个规则是与开始和结束时间相对应的时 间、日期的指定方法。逻辑上,结束时间和日期必须在开始时间和日期之后指定。50 C i s c o访问表配置指南 下载 作为一个附加的示例,我们假设读者要从 6月1日起开始允许H T T P流量,而不希望指定时 间范围的结束时间。下面的 a b s o l u t e语句说明了如何编写一个从 6月1日5:00 p.m.开始,并且没 有结束时间的时间范围。 现在,读者理解了a b s o l u t e语句,下面我们将讲述p e r i o d i c语句。 5.2.5 periodic语句 尽管一个时间范围只能有一个 a b s o l u t e语句,但它可以有多个 p e r i o d i c语句。另外, a b s o l u t e语句只拥有开始和结束时间以及日期等少数几个参数,而 p e r i o d i c语句允许使用大量 的参数,其范围可以是一星期中的某一天、几天的结合,或者使用关键字 d a i l y、w e e k d a y s和 w e e k e n d等。表5 - 1列出了在p e r i o d i c语句中可以使用的每星期中天数的参数。 表5-1 periodic语句中可用的每星期中天数的参数 参 数 意 义 M o n d a y, Tu e s d a y, We d n e s d a y, Thursday, Friday, Saturday, Sunday 某一天或某几天的结合 D a i l y 从星期一到星期天 We e k d a y 从星期一到星期五 We e k e n d 星期六和星期日 5.2.6 示例 空谈不如实践,下面就分析一些 p e r i o d i c语句的示例。首先,假设我们希望在周末(从星 期六早上7 : 0 0到星期天晚上7 : 0 0)限制We b访问。也有可能读者所在的组织允许雇员在周末带 上家人使用 T 1高速链路进行 We b冲浪,而不用在家里使用拨号的低速访问。达到这种目的 p e r i o d i c语句如下所示: 注意,因为关键字w e e k e n d表示星期六和星期日,所以只要再指定开始时间和结束时间就 可以了;I O S能够非常聪明地将开始时间与星期六联系起来,而将结束时间与星期日联系起 来。 作为p e r i o d i c语句的第二个示例,假设读者要指定从 8:00 a.m.到5:00 p.m.(星期一到星期 五)的时间范围。表 5 - 1展示了关键字w e e k d a y表示从星期一到星期五。这样,我们可以使用 下面的p e r i o d i c语句: 作为p e r i o d i c语句的第三个示例,假设我们希望指定从 7:00 a.m.到5:00 p.m.(一周中的每 一天)的时间范围。在这种情况下,我们应该在 p e r i o d i c语句中使用关键字d a i l y,如下所示: 作为第四个示例,假设这样一种情形:时间范围为从星期六晚上 5 : 0 0开始,结束于星期第 5章 基于时间的访问表 51下载 一的早上7 : 0 0。注意,这样的一段时间不适宜于用 d a i l y、w e e k d a y s或w e e k e n d。因此可以使用 两个p e r i o d i c语句来建立所需的时间范围。第一个 p e r i o d i c语句使用w e e k e n d关键字建立从星期 六晚上5 : 0 0到星期日凌晨的一段时间,而第二个 p e r i o d i c语句将使用M o n d a y作为参数,如下所 示: 作为使用两个p e r i o d i c语句的一种替换方法,我们也可以使用一条语句,它以 S a t u r d a y作 为开始时间参数,以M o n d a y作为结束时间参数。如下所示: 尽管可以使用单个p e r i o d i c语句作为多个p e r i o d i c语句的替代语句,但只有时间段连续时才 可以如此使用。例如,假设我们要在每个工作日的晚上 11 : 0 0到午夜,以及在周末中,从星期 六早上7 : 0 0到星期天的晚上8 : 0 0阻塞对We b服务器的访问。在这种情况下,我们就要使用多个 p e r i o d i c语句。 5.3 注意事项 读者理解了t i m e -范围命令以及如何使用 a b s o l u t e和p e r i o d i c语句之后,在分析一系列的应 用示例以前,可以考虑一些注意事项。因为使用带时间范围的访问表要依赖于路由器的系统 时钟,所以要保证路由器时钟设置的正确性。我们可以使用 N T P和硬件日历来达到目的。另 外一个注意事项是在一个 t i m e -范围命令中同时使用 a b s o l u t e和p e r i o d i c语句。在这种情况下, 只有在匹配绝对开始时间之后才匹配 p e r i o d i c语句。而且,如果已经超过了绝对结束时间,则 p e r i o d i c语句就不再进一步匹配。为了说明这个概念,假设要指定的时间范围为从星期六的早 上8 : 0 0到星期日的下午 5 : 0 0,日期为2 0 0 0年6月1日到2 0 0 0年的1 2月3 1日。要建立这样的时间 段,首先要使用 a b s o l u t e语句来定义开始和结束日期。然后使用 p e r i o d i c语句来定义前面提到 的周末时间段。这样,t i m e -范围命令和a b s o l u t e、p e r i o d i c语句将如下所示: 现在,读者已经理解了如何在时间范围中结合使用 a b s o l u t e和p e r i o d i c语句。下面可以分 析一系列的应用示例了。 5.4 时间范围应用:示例1 5.4.1 概述 假设读者所在的组织有一个连接两个以太网段并连接到 I n t e r n e t的路由器,如图 5 - 1所示。 从图中可以看出,路由器通过串行端口 0连到I n t e r n e t,而两个以太网段分别通过路由器端口 E 0和E 1连接。假设我们希望限制 1 9 8 . 7 8 . 4 6 . 0网络的We b冲浪,只允许其在 2 0 0 0年6月1日至 2 0 0 0年1 2月3 1日内,从星期六的早上7 : 0 0到星期日的下午5 : 0 0进行We b访问。52 C i s c o访问表配置指南 下载 图5-1 时间范围应用:示例1 5.4.2 解决方案 5.4.3 分析 尽管可以将访问表应用到串行端口上,但将其应用到尽量靠近受影响的设备更为合适。 这样,因为我们是要限制1 9 8 . 7 8 . 4 6 . 0网络进行We b冲浪,所以应将访问表应用到 E t h e r n e t 0接口 上。 因为我们是要限制1 9 8 . 7 8 . 4 6 . 0网络的We b冲浪,所以应将所创建的访问表应用成向内的访 问,以便该网络上的用户可以首先将报文发到路由器以进行 We b冲浪。这样,ip access-group 在命令行中使用了变量i n。 t i m e -范围命令和语句建立访问表所使用的时间范围。 a b s o l u t e语句定义时间段为从6月1日 的早上7 : 0 0到1 2月3 1日的下午5 : 0 0,而p e r i o d i c语句进一步将范围限制在周末的星期六早上 7 : 0 0到星期日的下午5 : 0 0。 最后一个语句将名称为 a l l o w - h t t p的时间范围应用到了扩展 I P访问表中。注意,如果满足 时间范围的话,访问表语句允许的 T C P报文为任一目的地,端口号为 8 0。 5.5 时间范围应用:示例2 5.5.1 概述 假设我们的组织继续使用三端口的路由器,该路由器连接两个以太网,并通过一个串行 通往Internet 路由器 以太网 以太网接口连到I n t e r n e t,如图5 - 2所示。假设要限制对 1 9 8 . 7 8 . 4 6 . 0网络上的We b服务器(主机地址为 1 9 8 . 7 8 . 4 6 . 1 2)的访问。 进一步假设对服务器的访问限制为:从 I n t e r n e t来的访问限制为只能在星期六早上 7 : 0 0到 星期一早上7 : 0 0时间内进行访问,而2 0 5 . 1 3 1 . 1 7 5 . 0网络上的用户可以在早上 8 : 0 0到中午(星期 一到星期五)访问服务器。另外,假设时间范围产生作用的日期段为 6月1日到2 0 0 0年年底。 图5-2 时间范围应用:示例2 5.5.2 解决方案 5.5.3 分析 在本示例中需要建立两个时间范围,分别满足在来自 I n t e r n e t和来自2 0 5 . 1 3 1 . 1 7 5 . 0网络对 第 5章 基于时间的访问表 53下载 通往Internet 路由器 以太网 Web服务器 以太网54 C i s c o访问表配置指南 下载 We b服务器的访问。在上述的解决方案中,将一个时间范围标识为 b l o c k - h t t p 1,而将另一个时 间范围标识为b l o c k - h t t p 2。 阻塞I n t e r n e t对We b服务器进行访问的时间范围稍微复杂一些,我们将阻塞时间段扩展为 从周末到星期一早上7 : 0 0。a b s o l u t e语句用来满足2 0 0 0年6月1日到2 0 0 0年1 2月3 1日这个日期段。 我们在前面说过,可以使用一个或两个 p e r i o d i c语句来包含一个连续的时间段。在本示例中, 我们选择了使用两个p e r i o d i c语句。 a b s o l u t e语句为时间范围定义全面的阶段,两个 p e r i o d i c语句指向的时间范围为从星期六 早上7 : 0 0到星期一早上7 : 0 0。因为我们希望在这个时间范围内阻塞从 I n t e r n e t到We b服务器的访 问,所以我们将命名为 b l o c k - h t t p 1的时间范围应用到向内方向的串口,并使用 1 0 1号访问表和 1 0 1号a c c e s s - g r o u p语句。要注意的一点是,因为我们推荐将访问表应用到靠近报文发出点的 接口,所以访问表1 0 1应用到了路由器的串行接口上。 为了在不同的时间段内阻塞 2 0 5 . 1 3 1 . 1 7 5 . 0网络对We b服务器的访问,我们建立了第二个时 间范围,并将其标识为 b l o c k - h t t p 2。因为我们只希望从星期一到星期五,早上 8 : 0 0到中午的 We b 访问,所以我们只需要使用一个 a b s o l u t e 和一个 p e r i o d i c语句。因为我们不希望 2 0 5 . 1 3 1 . 1 7 5 . 0网络上的用户在第二个时间段内访问 We b服务器,所以将时间范围标识为 b l o c k - h t t p 2的访问表1 0 2应用到了E t h e r n e t 1接口的向内方向上。 5.6 时间范围应用:示例3 5.6.1 概述 在本示例中,假设运行了两个 We b服务器,每个We b服务器分别位于分离的以太网段上, 如图5 - 3所示。假设我们在1 2月3 1日晚上11 : 0 0以前允许I n t e r n e t访问198.78.46.12 We b服务器。 图5-3 时间范围应用:示例3 通往Internet 路由器 以太网 Web 服务器 S0 E1E0 198.78.46.12 205.131.175.22 Web 服务器 以太网在这段时间里,希望阻塞 I n t e r n e t对2 0 5 . 1 3 1 . 1 7 5 . 2 2 . We b服务器的访问。在新年夜的 11 : 0 0,我 们希望允许I n t e r n e t对第二个We b服务器的访问。因为可以使用前面讨论过的基于时间的访问 表,所以我们可以在新年夜参加 p a r t y,而不用在夜里11 : 0 0回到办公室来改变和重新应用已有 的访问表。 5.6.2 解决方案 5.6.3 分析 在该应用的解决方案中,建立一个扩展命名的 I P访问表,并将其标识为 i n t e r n e t。我们仍 然将访问表应用到靠近被过滤数据源的端口上,在本示例中为串行端口 0。 因为对一个We b服务器进行访问的终止时间点恰好是第二个 We b服务器开始允许访问的时 间点,所以我们可以使用一个时间范围。在使用 t i m e -范围命令命名h t t p之后,使用了不带s t a r t 关键字的a b s o l u t e语句,这将导致时间范围立即产生作用,直到指定的终止时间。 在名为i n t e r n e t的I P访问表中包含了三条语句。如果报文的端口号为 8 0并且时间范围适合 的话。第一条p e r m i t语句允许从I n t e r n e t任何主机来的T C P报文访问198.78.46.12 We b服务器。 这样,这条语句在新年前夜 11 : 0 0以前都将允许对 We b服务器的访问。访问表的第二条语句阻 塞对其他We b服务器的访问,直到该时间段结束。因为访问表的缺省操作方式是除非明确允 许的报文,其他报文都被阻塞,所以访问表的第三条语句是需要的。注意,第二条语句只有 在新年前夜的 11 : 0 0之前有作用。这样,第三条语句在该时间范围到达之后将允许对第二个 We b服务器进行访问。 5.7 时间范围应用:示例4 5.7.1 概述 在时间范围应用的最后一个示例中,将分析在访问表中进行特殊类型的 I C M P过滤。我们 仍然假设使用两个以太网端口和一个串行端口的路由器,路由器通过串行端口连到 I n t e r n e t (见图5 - 4)。与示例3中一样,我们假设We b服务器位于不同的网段上。 假设从现在到2 0 0 0年年底前,晚上11 : 0 0到午夜我们要阻塞对 1 9 8 . 7 8 . 4 6 . 1 2服务器的访问。 进一步假设要限制对网络信任端的 p i n g操作,这意味着要过滤来自 I n t e r n e t的向内的回应请求 报文。作为2 0 5 . 1 3 1 . 1 7 5 . 2 2服务器的安全机制,希望限制 T C P流量流向2 0 5 . 1 3 1 . 1 7 5 . 0网络,不 管它是直接通向服务器的 h t t p流量,还是由2 0 5 . 1 3 1 . 1 7 5 . 0网络发起的回应会话。最后,希望阻 塞所有从I n t e r n e t到2 0 5 . 1 3 1 . 1 7 5 . 0网络的流量,以及从星期五晚上 5 : 0 0到星期一早上6 : 0 0,要 第 5章 基于时间的访问表 55下载阻塞1 9 8 . 7 8 . 4 6 . 0网络对2 0 5 . 1 3 1 . 1 7 5 . 0网络的访问。 图5-4 时间范围应用:示例4 5.7.2 解决方案 注意:本解决方案中的命令所显示的顺序与路由器配置中的显示不同。在实际应用中, 所有的访问表显示在路由器配置的下端。我们将其靠近接口命令进行显示是为了有利 于讨论。 56 C i s c o访问表配置指南 下载 通往Internet 路由器 阻塞 ping 以太局域网 以太局域网 Web服务器 Web服务器 以太网5.7.3 分析 本示例中的操作既要应用到串行端口,又要应用到以太网端口。所以,我们使用了三个 访问表。 第一个访问表应用到串行端口,它阻塞所有的 p i n g报文进入路由器,但允许其他的报文 通过。对于其他的操作,我们必须分别对不同的接口应用不同的访问表。我们可以创建一个 稍微复杂的访问表,在某些情况下,最好是遵循“工作量分担”的原则,将适合的访问表应 用到每一个接口,这样,既可以减少一个访问表的复杂性,也可以减少潜在的错误。在本示 例中,因为阻塞p i n g对两个E t h e r n e t是公用的,我们将用来阻塞回应请求报文的 d e n y语句与访 问表结合起来,并应用到串行端口。 第一个范围标识为 b l o c k - h t t p,使用了一个a b s o l u t e语句和一个p e r i o d i c语句,以用来阻塞 对198.78.46.12 We b服务器进行访问的时间段。注意,标识为 b l o c k - h t t p的时间范围是与 E t h e r n e t联系在一起的。还要注意的是,在访问表中使用 d e n y语句阻塞We b流量的时间段里, 我们允许其他所有的I P流量从路由器流往以太网段。 因为我们希望阻塞报文的时间是从现在起的没有期限的一段时间,所以在标为 b l o c k - t r a ff i c的时间范围内使用了一个不带任何参数的 a b s o l u t e语句。然后,p e r i o d i c语句设置了从星 期五晚上5 : 0 0到星期一早上7 : 0 0的时间段。访问表 1 0 3的第一条语句在预定义的时间范围内阻 塞所有来自I n t e r n e t和另一个以太网段的流量。访问表的第二条语句允许从另一个以太网段来 的所有流量。这样,访问表的第三条语句允许从 I n t e r n e t来的,去往We b服务器的H T T P流量。 同时,第四条语句只允许由 2 0 5 . 1 3 1 . 1 7 5 . 0网络发起的会话,该语句只应用于来自 I n t e r n e t的流 量,因为第二条语句允许了从另一个网段来的所有流量。 第 5章 基于时间的访问表 57下载
还剩9页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 20 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

张胜军12345

贡献于2011-06-14

下载需要 20 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf