网络管理与维护案例教程第9章 访问列表高级应用
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2
3
相关知识
1.基于时间的访问控制列表概述 访问控制表(ACL)实际上是在路由器或三层交换机上实现的根据数据报文的内容进 行的过滤行为。路由器或者三层交换机根据报文的特征以及ACL中所定义的策略, 决定将该报文进行转发或者丢弃。常用的访问控制表通常是根据IP数据包的源地 址、目标地址、协议类型等来进行配置。 基于时间的访问控制表可以根据一天中的不同时间或一星期中的不同日期、或二 者相结合来控制网络数据包的转发。这种基于时间的访问控制表,就是在原来的 标准访问控制表和扩展访问控制表中,加入有效的时间范围来更合理有效地控制 网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
8
9
相关知识
1.专家级的访问控制列表概述 专家级访问控制列表可以利用MAC地址、IP地址、 VLAN号、传输端口号、协议类型、时间ACL等元 素进行灵活组合,定义规则。从而更加灵活的 控制网络的流量,保证网络的安全运行。 Expert 扩展访问列表(编号 2700 -2899)为基本 访问列表和 MAC 扩展访问列表的综合体,并且 能对 VLAN ID进行过滤。
4
相关知识
2.基于时间的访问控制列表配置 基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用定义 规则。 从特权模式开始,您可以通过以下步骤来设置一个 Time-Range: absolute:该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这 两个关键字后面的时间要以24小时制hh:mm表示,日期要按照日/月/年来表示。如果 省略start及其后面的时间,则表示与之相联系的permit或deny语句立即生效,并一直 作用到end处的时间为止。如果省略end及其后面的时间,则表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且一直进行下去。 Periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、 Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合, 也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
第九章 访问列表高级应用
问题情景与案例提出——基于时间的访问控制列 表应用
某公司经理最近发现,有些员工在上班时间经常上 网浏览与工作无关的网站,影响了工作,因此他通 知网络管理员,在网络上进行设置,在上班时间只 允许浏览与工作相关的几个网站,禁止访问其它网 站。 本案例以1台S2126G交换机和1台R2624路由器为例。 PC机的IP地址和缺省网关分别为172.16.1.1/24和 172.16.1.2/24,服务器(Server)的IP地址和缺省网 关分别为160.16.1.1/24和160.16.1.2/24,路由器的 接口F0和F1的IP地址分别为172.16.1.2/24和 160.16.1.2/24。拓扑结构如图9-1所示。
5
相关知识
6
案例实施
7
问题情景与案例提出——专家级的访问控制列表 应用
出于安全考虑,某企业网络管理员需要按物理地址 及网络地址禁止某些主机访问某服务器,但允许其 他主机访问,现在需要在交换机上做相应配置。 本案例以1台S2126G交换机和1台R2624路由器为例。 PC1 和 PC2 的 IP 地 址 分 别 为 172.16.1.1/24 和 172.16.1.3/24 , 缺 省 网 关 为 172.16.1.2/24 , 服 务 器 (Server)的IP地址和缺省网关分别为160.16.1.1/24 和160.16.1.2/24,路由器的接口F0和F1的IP地址分 别为172.16.1.2/24和160.16.1.2/24。拓扑结构如图92所示。
10
相关知识
2.专家级的访问控制列表的配置 方式一:在全局配置模式下执行以下命令:
11
相关知识
2.专家级的访问控制列表的配置 方式二, 在ACL配置模式下执行以下命令:
12
案例
3
相关知识
1.基于时间的访问控制列表概述 访问控制表(ACL)实际上是在路由器或三层交换机上实现的根据数据报文的内容进 行的过滤行为。路由器或者三层交换机根据报文的特征以及ACL中所定义的策略, 决定将该报文进行转发或者丢弃。常用的访问控制表通常是根据IP数据包的源地 址、目标地址、协议类型等来进行配置。 基于时间的访问控制表可以根据一天中的不同时间或一星期中的不同日期、或二 者相结合来控制网络数据包的转发。这种基于时间的访问控制表,就是在原来的 标准访问控制表和扩展访问控制表中,加入有效的时间范围来更合理有效地控制 网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
8
9
相关知识
1.专家级的访问控制列表概述 专家级访问控制列表可以利用MAC地址、IP地址、 VLAN号、传输端口号、协议类型、时间ACL等元 素进行灵活组合,定义规则。从而更加灵活的 控制网络的流量,保证网络的安全运行。 Expert 扩展访问列表(编号 2700 -2899)为基本 访问列表和 MAC 扩展访问列表的综合体,并且 能对 VLAN ID进行过滤。
4
相关知识
2.基于时间的访问控制列表配置 基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用定义 规则。 从特权模式开始,您可以通过以下步骤来设置一个 Time-Range: absolute:该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这 两个关键字后面的时间要以24小时制hh:mm表示,日期要按照日/月/年来表示。如果 省略start及其后面的时间,则表示与之相联系的permit或deny语句立即生效,并一直 作用到end处的时间为止。如果省略end及其后面的时间,则表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且一直进行下去。 Periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、 Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合, 也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
第九章 访问列表高级应用
问题情景与案例提出——基于时间的访问控制列 表应用
某公司经理最近发现,有些员工在上班时间经常上 网浏览与工作无关的网站,影响了工作,因此他通 知网络管理员,在网络上进行设置,在上班时间只 允许浏览与工作相关的几个网站,禁止访问其它网 站。 本案例以1台S2126G交换机和1台R2624路由器为例。 PC机的IP地址和缺省网关分别为172.16.1.1/24和 172.16.1.2/24,服务器(Server)的IP地址和缺省网 关分别为160.16.1.1/24和160.16.1.2/24,路由器的 接口F0和F1的IP地址分别为172.16.1.2/24和 160.16.1.2/24。拓扑结构如图9-1所示。
5
相关知识
6
案例实施
7
问题情景与案例提出——专家级的访问控制列表 应用
出于安全考虑,某企业网络管理员需要按物理地址 及网络地址禁止某些主机访问某服务器,但允许其 他主机访问,现在需要在交换机上做相应配置。 本案例以1台S2126G交换机和1台R2624路由器为例。 PC1 和 PC2 的 IP 地 址 分 别 为 172.16.1.1/24 和 172.16.1.3/24 , 缺 省 网 关 为 172.16.1.2/24 , 服 务 器 (Server)的IP地址和缺省网关分别为160.16.1.1/24 和160.16.1.2/24,路由器的接口F0和F1的IP地址分 别为172.16.1.2/24和160.16.1.2/24。拓扑结构如图92所示。
10
相关知识
2.专家级的访问控制列表的配置 方式一:在全局配置模式下执行以下命令:
11
相关知识
2.专家级的访问控制列表的配置 方式二, 在ACL配置模式下执行以下命令:
12
案例