基于时间策略的ACL访问控制列表限速
Cisco路由器配置ACL详解之基于时间的访问控制列表
Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表:
上⾯我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。
不过实际⼯作中总会有⼈提出这样或那样的苛刻要求,这时我们还需要掌握⼀些关于ACL的⾼级技巧。
基于时间的访问控制列表就属于⾼级技巧之⼀。
⼀、基于时间的访问控制列表⽤途:
可能公司会遇到这样的情况,要求上班时间不能上QQ,下班可以上或者平时不能访问某⽹站只有到了周末可以。
对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的,这时基于时间的访问控制列表应运⽽⽣。
⼆、基于时间的访问控制列表的格式:
基于时间的访问控制列表由两部分组成,第⼀部分是定义时间段,第⼆部分是⽤扩展访问控制列表定义规则。
这⾥我们主要讲解下定义时间段,具体格式如下:
time-range时间段名称
absolute start [⼩时:分钟] [⽇⽉年] [end] [⼩时:分钟] [⽇⽉年]
例如:time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。
我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。
当然我们也可以定义⼯作⽇和周末,具体要使⽤periodic命令。
我们将在下⾯的配置实例中为⼤家详细介绍。
访问控制列表ACL及配置教程
访问控制列表ACL及配置教程访问控制列表:ACL:(accesscontrollist)适⽤所有的路由协议:IP,IPX,AppleTalk控制列表分为两种类型:1.标准访问控制列表:检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表:对数据包的源地址与⽬标地址进⾏检查。
访问控制列表最常见的⽤途是作为数据包的过滤器。
其他⽤途;可指定某种类型的数据包的优先级,以对某些数据包优先处理识别触发按需拨号路由(DDR)的相关通信量路由映射的基本组成部分ACL能够⽤来:提供⽹络访问的基本安全⼿段访问控制列表可⽤于Qos(QualityofService,服务质量)对数据流量进⾏控制。
可指定某种类型的数据包的优先级,以对某些数据包优先处理起到了限制⽹络流量,减少⽹络拥塞的作⽤提供对通信流量的控制⼿段访问控制列表对本⾝产⽣的的数据包不起作⽤,如⼀些路由更新消息路由器对访问控制列表的处理过程:(1)如果接⼝上没有ACL,就对这个数据包继续进⾏常规处理(2)如果对接⼝应⽤了访问控制列表,与该接⼝相关的⼀系列访问控制列表语句组合将会检测它:*若第⼀条不匹配,则依次往下进⾏判断,直到有⼀条语句匹配,则不再继续判断。
路由器将决定该数据包允许通过或拒绝通过*若最后没有任⼀语句匹配,则路由器根据默认处理⽅式丢弃该数据包。
*基于ACL的测试条件,数据包要么被允许,要么被拒绝。
(3)访问控制列表的出与⼊,使⽤命令ipaccess-group,可以把访问控制列表应⽤到某⼀个接⼝上。
in或out指明访问控制列表是对近来的,还是对出去的数据包进⾏控制【在接⼝的⼀个⽅向上,只能应⽤1个access-list】路由器对进⼊的数据包先检查⼊访问控制列表,对允许传输的数据包才查询路由表⽽对于外出的数据包先检查路由表,确定⽬标接⼝后才检查看出访问控制列表======================================================================应该尽量把放问控制列表应⽤到⼊站接⼝,因为它⽐应⽤到出站接⼝的效率更⾼:将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它(4)访问控制列表中的deny和permit全局access-list命令的通⽤形式:Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这⾥的语句通过访问列表表号来识别访问控制列表。
基于时间的ACL控制
路由器系统的默认时间:SW#show clock*00:02:26.355 UTC Fri Mar 1 2002是2002年3月1号 00:02分星期五,要把它改成现在的时间SW(config)#clock timezone UTC +8 在全局配置模式下敲这个命令,UTC 的意思是世界统一时间,也可以自己命名。
为什么改+8呢,因为我们国家是东8区,时间是早8个小时。
等几秒钟就会出现,系统改变时间的信息*Mar 1 00:04:26.767: %SYS-6-CLOCKUPDATE: System clock has been updated from 00:04:26 UTC Fri Mar 1 2002 to 08:04:26 UTC Fri Mar 1 2002, configured from console by console.看到没从00:04到了08:04分了,这里只是改时区,还要改时间,即到特权模式SW#clock set 11:28:00 2 May 2010 这个时间是2010年5月2号11:28就是我现在的这个时间 May是五月的缩写,其他月份记得举一反三哟。
我把时间的缩写都写上吧,一下去找比较麻烦。
一月 Jan. January 二月 Feb. February 三月 Mar. March四月 Apr. April 五月 May. May 六月 June. June七月 July. July 八月 Aug. August 九月 Sept. September十月 Oct. October 十一月 Nov. November 十二月 Dec. December现在看一下时间是多少SW#show clock11:31:50.911 UTC Sun May 2 2010 变成现在的时间2010年5月2号11:31了,时间设置好了,才能开始下一步。
设置时段SW(config)#time-range mytime 设置时段的名称,可以随便自定义。
访问控制列表(ACL)配置
ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。
3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。
(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。
六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。
访问控制列表ACL应用多种案例
访问控制列表ACL应用多种案例本文以华为设备为例ACL简介访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。
所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。
设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
本例,就是将基本ACL应用在FTP模块中,实现只允许指定的客户端访问FTP服务器,以提高安全性。
本文包含以下5个ACL应用案例1使用ACL限制FTP访问权限示例2使用ACL限制用户在特定时间访问特定服务器的权限示例3使用ACL禁止特定用户上网示例4配置特定时间段允许个别用户上网示例5使用ACL限制不同网段的用户互访示例使用ACL限制FTP访问权限示例组网需求如图1所示,Switch作为FTP服务器,对网络中的不同用户开放不同的访问权限:子网1(172.16.105.0/24)的所有用户在任意时间都可以访问FTP服务器。
子网2(172.16.107.0/24)的所有用户只能在某一个时间范围内访问FTP 服务器。
其他用户不可以访问FTP服务器。
已知Switch与各个子网之间路由可达,要求在Switch上进行配置,实现FTP服务器对客户端访问权限的设置。
图1 使用基本ACL限制FTP访问权限组网图操作步骤配置时间段<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:592014/12/31 //配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段[Switch] time-range ftp-access 14:00 to 18:00 off-day //配置ACL生效时间段,该时间段是一个周期时间段,ftp-access最终生效的时间范围为以上两个时间段的交集配置基本ACL[Switch] acl number 2001[Switch-acl-basic-2001] rule permit source 172.16.105.00.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器[Switch-acl-basic-2001] rule deny source any //限制其他用户不可以访问FTP服务器[Switch-acl-basic-2001] quit配置FTP基本功能[Switch] ftp server enable //开启设备的FTP服务器功能,允许FTP 用户登录[Switch] aaa[Switch-aaa] local-user huawei password irreversible-cipherirreversible-cipher方式的密码仅适用于V200R003C00及以后版本,在V200R003C00之前版本上,仅适用cipher方式密码[Switch-aaa] local-user huawei privilege level 15 //配置FTP用户的用户级别[Switch-aaa] local-user huawei service-type ftp //配置FTP用户的服务类型[Switch-aaa] local-user huawei ftp-directory cfcard: //配置FTP用户的授权目录,在盒式交换机上需配置为flash:[Switch-aaa] quit配置FTP服务器访问权限[Switch] ftp acl 2001 //在FTP模块中应用ACL验证配置结果在子网1的PC1(172.16.105.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。
网络安全之——ACL(访问控制列表)
网络安全之——ACL(访问控制列表)网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。
2、熟悉高级ACL的应用场合并灵活运用。
【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。
【引入案例1】某公司建设了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。
自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。
有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。
一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。
网络安全采用的技术很多,通过ACL (Access Control List,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。
【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。
ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permint)或禁止(Deny)数据包通过。
基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。
每个端口的出站方向(Outbound)和入站方向(Inbound)均可配置独立的ACL 进行包过滤。
出方向过滤基于ACL的包过滤当路由器收到一个数据包时,如果进入端口处没有启动ACL包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了ACL包过滤,则数据交给入站防火墙进行过滤,其工作流程如图所示。
交换机:认识基于时间的访问控制表
访问控制表(ACL)实际上是在路由器或三层交换机上实现的根据数据报⽂的内容进⾏的过滤⾏为。
路由器或者三层交换机根据报⽂的特征以及ACL中所定义的策略,决定将该报⽂进⾏转发或者丢弃。
常⽤的访问控制表通常是根据IP数据包的源地址、⽬标地址、协议类型等来进⾏配置,本⽂将介绍另外⼀种访问控制表:基于时间的访问控制表。
基于时间的访问控制表可以根据⼀天中的不同时间或⼀星期中的不同⽇期、加⼊收藏或⼆者相结合来控制络数据包的转发。
这种基于时间的访问控制表,就是在原来的标准访问控制表和扩展访问控制表中,加⼊有效的时间范围来更合理有效地控制络。
⾸先定义⼀个时间范围,然后在原来的各种访问列表的基础上应⽤它。
基于时间访问列表的设计中,⽤time-range命令来指定时间范围的名称,然后⽤absolute命令,或者⼀个或多个periodic 命令来具体定义时间范围。
命令格式为: time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm 下⾯分别介绍每个命令和参数的详细情况。
time-range: ⽤来定义时间范围的命令。
time-range-name: 时间范围名称,⽤来标识时间范围,以便于在后⾯的访问列表中引⽤。
absolute: 该命令⽤来指定绝对时间范围。
它后⾯紧跟着start和end两个关键字。
在这两个关键字后⾯的时间要以24⼩时制hh:mm表⽰,⽇期要按照⽇/⽉/年来表⽰。
如果省略start及其后⾯的时间,则表⽰与之相联系的permit或deny语句⽴即⽣效,并⼀直作⽤到end处的时间为⽌。
如果省略end及其后⾯的时间,则表⽰与之相联系的permit或deny语句在start处表⽰的时间开始⽣效,并且⼀直进⾏下去。
基于时间的访问控制列表及ASA 防火墙ACL 的添加技巧
基于时间的访问控制列表及ASA 防火墙ACL 的添加技巧2010-08-10 15:28:55| 分类:ACL | 标签:|字号大中小订阅最近做项目正好碰到,就随便记录了一下基于时间的访问控制列表一建立时间范围基于时间的访问控制列表实际上是扩展ACL 的延伸,使用time-range 关键字来指定ACL 语句的有效时间和发生的周期,时间周期可以是重复的,例如每天10到12点,或者是绝对的只发生一次。
下面我就对基于时间访问控制列表的一些关键字做一个解释time-range使用time-range 建立时间的范围如time-range[ time-range-name] 必须给这个时间范围给一个唯一的名称。
名称必须以字母开头,不可以用空格。
我们后面会使用这个名称将这个时间范围关联的指定的ACL 上。
执行time-range[ time-range-name] 进入子配置模式,可以使用两种类型的时间范围,? Absolute (只执行一次) 指定单个时间周期,在此周期有效,Absolute 命令指定一个开始时间和一个结束时间,以24 小时制。
? Periodic (重复性,周期性) 命令指定一个重复发生的时间周期,在这个周期范围内的时间是有效的。
可以使用一下的关键字Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday、daily (每天)、weekdays (星期一到星期五)、weekend (星期六到星期天)以24 小时制。
二激活时间范围建立了时间范围之后,需要激活。
这是通过将time-range 参数添加到ACL 语句中来激活它,命名和扩展的ACL 都支持时间范围。
例如access-list 100 permit tcp any any time-range [ time-range-name]三实例下面我举例说明基于时间的ACL 使用方法以telnet 为列拓扑图如下要求:内网有两台主机R2 R3 ,R1 为一台telnet 服务器,ASA3 为防火墙,现在要求R2任何时间都可以登录R1 而R3 只有每天的下午13:00到15:00可以登录ASA3配置如下:? 定义时间段ASA(config)# time-range http(名字)ASA(config-time-range)# periodic daily 13:00 to 18:00? 激活时间范围ASA(config)# access-list 101 extended permit tcp host 192.168.1.2 host 200.1.1.2 eq telnetASA(config)# access-list 101 extended permit tcp host 192.168.1.3 host 200.1.1.2 eq telnettime-range http (关联)? 应用于接口ASA(config)#access-group 101 in interface insideu 注意:ACL 最后都有隐含deny语句,如果定义单个人或段的时间限制,可以放在考前的位置。
基于时间的ACL的配置
基于时间的ACL的配置【实验目的】掌握时间范围的建立掌握基于时间的访问控制列表ACL命令的使用掌握以命名为基础的访问控制列表的建立掌握将基于命名的访问控制列表关联到端口的命令的使用【实验设备】路由器二台(模拟器中选择Generic路由器,有串行口)PC机二台交换机一台交叉线一条DTE或DCE连线二条配置线二条直通线三条【实验拓扑】【实验要求】某软件公司的服务器,公司规定只能在正常工作时间登录(周一到周五8:00~17:00),其他时间拒绝登录,以确保公司的数据安全【实验步骤】一.按照图示连接设备:路由器和路由器之间用DTE或DCE线连接,交换机与电脑、路由器之间用直通线,路由器与服务器之间用交叉线连接二.设置路由器的端口的IP地址及时钟频率1.路由器RA的配置:Router>enable (进入特权模式)Router#configure terminal (进入全局模式)Router(config)#hostname RA (给路由器命名为RA)RA (config)#interface serial 2/0 (进入2号串口)RA (config-if)#ip address 10.10.2.1 255.255.255.0 (设置2号串口IP地址)RA (config-if)#clock rate 128000 (设置时钟频率)RA (config-if)#no shutdown (激活端口)RA (config-if)#exit (退回上一级)RA (config)#interface fastethernet 0/0 (进入0号接口)RA (config-if)#ip address 10.10.1.1 255.255.255.0 (设置0号口IP地址)RA (config-if)#no shutdown (激活端口)RA (config-if)#exit (退回上一级)2.路由器RB的配置:Router>enable (进入特权模式)Router#configure terminal (进入全局模式)Router (config)#hostname RB (给路由器命名为RB)RB (config)#interface serial 2/0 (进入2号串口)RB (config-if)#ip address 10.10.2.2 255.255.255.0 (设置2号串口IP地址)RB (config-if)#no shutdown (激活端口)RB (config-if)#exit (退回上一级)三.启动rip协议,通告相邻网络号:1.路由器RA的配置:RA(config)#router rip (启动rip协议)RA(config)#version 2 (使用ripV2协议)RA(config-router)#network 10.10.1.0 (通告10.10.1.0连到本路由器上)RA(config-router)#end (返回特权模式)2.路由器RB的配置:RB(config)#route rip (启动rip协议)RB(config)#version 2 (使用ripV2协议)RB(config-router)#network 10.10.3.0 (通告10.10.2.0连到本路由器上)RB(config-router)#end (返回特权模式)四.设置PC1 、PC2和服务器的IP地址及网关地址:PC1:10.10.1.10(IP) 255.255.255.0 (掩码) 10.10.1.1(网关)PC2:10.10.1.11(IP)255.255.255.0 (掩码) 10.10.1.1(网关)服务器:10.10.3.10(IP) 255.255.255.0(掩码) 10.10.3.1(网关)五.查看每台路由器的路由信息并测试连通性:分别在每台路由器上输入下列命令:1.RA#show ip route (查看路由表信息)*此时RA路由表有2条C路由信息,1条R路由,RB上有2条C路由信息,1条R路由信息2.分别在PC1上和PC2上测试是否跟服务器相互连通:PC1:ping 10.10.3.10PC2:ping 10.10.3.10*结果应该是所有的都连通3.分别在PC1和PC2上测试登录服务器的Web网页,看是否能登录上*结果应该是两个都能登录六.在RA上设置访问控制列表:RA(config)#time-range time1 (创建时间范围)RA(config-time-range)#periodic weekend 0:00 to 23:59 (限定时间为每周一到周五)RA(config-time-range)#exit (退回上一级)RA(config)#ip access-list extended lo-time (以命名方式定义访问控制列表)RA(config-ext-nacl)#deny tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range time1(设置允许10.10.1.0网段在time1规定的时间范围内登录服务器)RA(config-ext-nacl)#permit ip any any (允许在其他时间的任何访问)RA(config-ext-nacl)#exit (退回上一级)RA(config)#interface f0/0 (进入0号接口)RA(config-if)#ip access-group lo-time in(设定访问控制列表lo-time应用在RA的f0/0入口上)RA(config-if)#exit (退回上一级)七.结果测试:(1)设置路由器的时间跟系统当前工作时间一致:RA#clock set 9:12:00 january 28 2014(时间为2014年2月28日上午9点12分,星期五,属于工作时间)分别在PC1上和PC2上测试是否跟服务器相互连通:PC1:ping 10.10.3.10PC2:ping 10.10.3.10*结果应该是都能通(2)设置路由器的时间跟系统当前工作时间一致:RA#clock set 9:12:00 March 1 2014(时间为2014年3月1日上午9点12分,星期六,属于非工作时间)分别在PC1上和PC2上测试是否跟服务器相互连通:PC1:ping 10.10.3.10PC2:ping 10.10.3.10*结果应该是都不能通附:基于时间的访问控制列表的格式:1.RA(config)#time-range 时间范围名定义一个时间范围,名字区分大小写,且不能以数字打头2.RA(config-time-range)#absolute|periodic 时间(1)absolute 严格规定时间格式,每个时间范围内只能有一条严格时间,例: RA(config-time-range)#absolute start 08:00 1 May 2010 end 08:00 1 Dec 2010 从2010年5月1号早上八点至12月8点这段时间(2)periodic 设置周期时间,可设置多条,例:RA(config-time-range)#periodic daily 08:00 to 17:00每天早上8点至下午5点RA(config-time-range)#periodic Monday 08:00 to 17:00每周一早上8点至下午5点RA(config-time-range)#periodic weekdays 08:00 to 17:00周一至周五早上8点至下午5点,这句等同于下面这句RA(config-time-range)#periodic Monday Friday 08:00 to 17:00跟上面一句意义一样同理weekends= saturday and Sunday3.定义一个访问控制列表(是标准的、扩展的、以命名为基础的都可以,后面必须加上规定的时间范围)(1)access-list 1 permit any time-range 时间范围(2)access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range 时间范围(3)ip access-list extended 访问控制列表名permit tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range 时间范围4.RA(config)#interface f0/0RA(config-if)ip access-group 列表名|号in|out应用列表到某接口的入口或出口上。
Cisco设备基于时间的ACL
Cisco设备基于时间的ACL大| 中| 小[2008/04/08 20:38 | by zhao]Cisco的访问控制列表分为标准访问控制列表和扩展访问控制列表。
标准访问控制列表检查数据包里的源地址通自己定义的条件进行匹配,一旦匹配对所有的协议生效。
扩展反问控制列表检查数据包里的源、目标地址、协议、端口号与自己定义的条件进行匹配,对制定的协议生效。
以上都是大家知道的,嘿嘿,不过在重复一便。
但是,一旦我们在接口应用的访问控制列表后,除非我们把它删除,否则一直生效。
(24小时生效)下面向大家介绍一种基于时间生效的访问控制列表。
(只在指定的时间内生效)首先,你需要设定路由器的时间;#clock set {hh:mm:ss} {data} {month} {year}其次,建立一个让列表生效的区间:(config)#time-range {time-range-name}"time-range-name"为时间区间的名字,自定义,以便于在后面的访问列表中引用。
(config-range)#absolute start {hh:mm data month year} end {hh:mm data month year}该指令用于建立一个时间的区间范围。
(config-range)#periodic {星期范围} {时间} to {星期范围} {时间}该指令主要用星期来定义时间的范围。
星期范围:Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sundday、daily(每天)、weekday(周一到周五)、weekend(周末)例:定义一个每天早9点到下午5点periodic daily 9:00 to 17:00定义一个每周四早上9点到周五下午5点periodic thursday 9:00 to friday 17:00最后,将时间范围应用的访问列表中:(config)#access-list access-list-number {permit|deny} protocol source source-wildcard destination destination-wildcard [ operator port ] [time-range time-range-name]举例:每个工作日的上班时间内不允许员浏览网页。
策略路由和ACL+QOS典型配置
H3C限速策略路由和ACL+QOS典型配置资料汇总目录:H3C交换机限速技巧全攻略H3C QoS配置经典讲解H3C策略路由和QOS常见应用介绍及典型组网分析网络设备限速配置资料汇总【三大网络设备厂商 H3C 华为思科】【15个文档】H3C交换机限速技巧全攻略ZDNet 网络频道更新时间:2009-06-22 作者:驱动之家来源:驱动之家本文关键词:限速交换机 H3CH3C华为交换机限速有以下方法:line-rate(lr)speedtraffic-limitqos carH3C华为交换机端口限速二层较为准确(如:lr,speed),三层不准确(如:traffic-linit,qos car)lr :E050:(可信度100%)[Quidway-Ethernet0/1]line-rate ?INTEGER<1-100> Target rate(MbpsS5500:(可信度100%)[S5500-GigabitEthernet1/0/1]qos lr outbound cir ?INTEGER<64-1000000> Committed Information Rate(kbps), it must be a multiple of 64speed : (可信度100%)[S5500-GigabitEthernet1/0/1]speed ?10 Specify speed of current port 10Mb/s100 Specify speed of current port 100Mb/s1000 Specify speed of current port 1000Mb/sauto Enable port's speed negotiation automaticallytraffic-limit : (可信度50%,当设定50M时,带宽为7M左右;当设定10M时,带宽为1M左右)[Quidway E050-Ethernet0/1]traffic-limit inbound ip-group 2000 ?INTEGER<1-100> Target rate(Mbps)link-group Apply the link-based aclrule Specify the ID of acl ruleqos car :(s5500)(可信度50%,当设定9.6M时,带宽为5M左右)acl number 2000rule 0 permit source 10.0.0.0 0.0.0.255traffic classifier liukong operator andif-match acl 2000traffic behavior liukongcar cir 9600 cbs 200000 ebs 4000 green pass red discard yellow passqos policy liukongclassifier liukong behavior liukonginterface GigabitEthernet1/0/1qos apply policy liukong inbound补充说明:交换机端口限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的方式不一样!2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!端口限速配置1功能需求及组网说明端口限速配置『配置环境参数』1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24『组网需求』1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。
如何设置网络访问控制列表来限制网络访问
如何设置网络访问控制列表来限制网络访问网络访问控制列表(ACL)是一种用于限制网络访问的重要工具。
通过设置ACL,我们可以控制谁可以访问网络资源,以及他们可以访问哪些资源。
本文将介绍如何设置网络访问控制列表来限制网络访问。
首先,我们需要了解ACL的基本概念和工作原理。
ACL是一种基于规则的访问控制机制,它通过匹配网络流量的源IP地址、目的IP地址、传输层协议和端口号等信息,来决定是否允许或拒绝该流量通过网络设备。
在设置ACL之前,我们需要明确网络访问的目的。
例如,我们可能想要限制某些用户只能访问特定的网站或特定的网络服务,或者限制某些用户不能访问某些特定的网站或网络服务。
其次,我们需要确定ACL的规则。
ACL规则由许多条件和动作组成。
条件定义了允许或拒绝流量的匹配规则,动作定义了匹配规则后应该采取的操作,如允许或拒绝流量。
一个常见的ACL规则可以是允许特定的IP地址范围访问特定的网站。
例如,我们可以设置一个ACL规则,允许公司内部IP地址范围的用户访问公司的内部网站,但拒绝其他IP地址范围的用户访问该网站。
另一个常见的ACL规则可以是拒绝特定的IP地址范围访问特定的网络服务。
例如,我们可以设置一个ACL规则,拒绝来自某个地区的IP地址范围的用户访问公司的邮件服务器,以增强安全性。
当我们确定了ACL规则后,就可以将其应用到网络设备上。
不同的网络设备有不同的配置方式,但大多数网络设备都提供了图形用户界面(GUI)或命令行界面(CLI)来配置ACL。
在配置ACL时,我们需要注意以下几点。
首先,要确保ACL规则的顺序是正确的。
ACL规则按照从上到下的顺序逐条匹配,一旦匹配成功,后续的规则将不再生效。
因此,我们应该根据规则的优先级和特定需求来确定规则的顺序。
其次,要定期审查和更新ACL规则。
网络环境是不断变化的,新的安全威胁和业务需求可能会导致ACL规则需要进行调整。
因此,我们应该定期审查和更新ACL规则,以确保其有效性和适应性。
设定访问控制列表限制网络访问权限
设定访问控制列表限制网络访问权限网络安全是当今数字化时代中的重要议题之一。
为了保护网络资源和敏感信息的安全,访问控制列表(Access Control List,简称ACL)被广泛应用于网络设备的配置中。
本文将探讨ACL的定义、作用以及如何设定ACL以限制网络访问权限。
一、ACL的定义与作用1. ACL的定义ACL是一种网络设备(如路由器、防火墙等)上的一系列规则,它用于控制网络中的数据流动,决定哪些网络流量可以通过设备进行转发,哪些被阻止。
ACL规则通常基于源IP地址、目的IP地址、传输层端口号等条件来进行匹配,以决定数据包的下一步操作。
2. ACL的作用ACL的主要作用是筛选和限制网络流量,从而保护网络资源和敏感信息的安全。
通过设定ACL规则,管理员可以控制进出网络的数据包,禁止未经授权的访问,防止网络攻击和非法入侵。
二、设定ACL限制网络访问权限的步骤设定ACL需要遵循一定的步骤和规范。
下面将介绍具体的操作过程:1. 确定访问控制需求在设定ACL之前,管理员需要明确访问控制的需求和目标。
他们需要思考以下问题:- 哪些主机或子网允许访问网络资源?- 哪些主机或子网需要被拒绝访问?- 需要限制的协议和端口号是什么?- 是否需要控制特定时间段的访问?2. 识别资源和网络流量管理员需要识别需要被保护的资源和相关的网络流量。
这可能包括服务器、数据库、应用程序等。
同时,他们需要了解这些资源的网络流量模式,比如源和目的IP地址、端口号等。
3. 创建ACL规则基于前两步的准备工作,管理员可以开始创建ACL规则。
在创建规则时,需要指定匹配条件和相应的操作。
常见的匹配条件包括源IP 地址、目的IP地址、传输协议、端口号等。
操作可以是允许(permit)、拒绝(deny)或者丢弃(drop)数据包。
4. 应用和测试ACL规则一旦ACL规则创建完成,管理员需要将其应用到相关的网络设备上。
在应用之前,建议先在测试环境中验证ACL规则的正确性,确保其不会对合法流量产生误拦截。
基于时间段内禁止上网的acl配置
deny ip 10.12.0.0 0.0.255.255 192.168.0.0 0.0.255.255
deny ip 10.12.0.0 0.0.255.255 10.9.0.0 0.0.255.255
permit ip 10.12.0.0 0.0.255.255 10.12.0.0 0.0.255.255
deny tcp any any eq 9996
deny tcp any any eq 3332
deny tcp any any eq 1068
deny tcp any any eq 455
deny udp any any eq 31335
deny udp any any eq 27444
conf
time-range no-http
periodic Weekdays 0:00 to 7:50
periodic Weekdays 12:00 to 13:20
periodic Weekdays 15:10 to 23:59
end
conf
ip access-list extended jiyushijianjinzhi
permit ip any any
end
wr
说明 基于时间段内禁止上网的acl控制
只允许10.12.0.0段的地址在特定时间内访问所允许的服务。不允许访问上面所列的地址段,在指定的时间段内不允许访问网络,在任何时候都可以访问10.12.0.0网段(机器本身网段)。时间段控制为:周一至周五 0:00-7:50 12:00-13:20 15:10-23:59 周六周日不开放。
deny tcp any any eq 27665
基于QosACL的端口限速策略的应用
基于Qos ACL的端口限速策略的应用【摘要】端口限速是一种保障网络通讯不受延迟或中断,有效地防止无节制地占用网络带宽资源的技术策略。
文章简单介绍了qos与acl的相关概念,从校园网络管理实际出发引出问题,然后确定解决问题的方案,并详细说明了方案实施的过程与步骤,最后对本策略应用进行了简要总结。
【关键词】 qos;acl;端口限速;带宽【 abstract 】 the technology of port rate limit is a technical strategy to ensure the network communication without delay or interruption, which can effectively avoid the uncontrolled using of the network bandwidth resources. firstly we introduced briefly some of the qos acl-related concepts, and posed some questions basing on the reality of campus network management, and then we provided aproblem-solving programme and elaborated on the process and steps of it’s implementation. in the end of the paper we gave a concise summary of the application of the port rate limit basing on the qos acl.【 keywords 】 qos; acl; port rate limit; bandwidth0 引言qos是quality of service(服务质量的简称,它是一种用来解决网络延迟和网络阻塞等问题的网络安全机制。
ACL访问控制列表配置与优化
ACL访问控制列表配置与优化ACL(Access Control List)访问控制列表是用于网络设备实现流量控制和网络安全的一种技术。
通过ACL,可以根据规则过滤和限制网络流量,以实现对网络资源的保护和管理。
本文将介绍ACL访问控制列表的配置和优化方法。
一、ACL基本概念ACL是一组用于控制网络流量的规则集合,它根据规则匹配和处理数据包。
ACL可以基于源IP地址、目的IP地址、传输层协议(如TCP或UDP)、传输层端口号等信息对数据包进行过滤和限制。
ACL规则由许多条目组成,每个条目包含一个或多个匹配条件和一个动作。
匹配条件可以根据需要自定义,动作决定如何处理匹配到的数据包,可以是允许通过、拒绝或执行其他操作。
二、ACL配置方法1. 确定访问控制目标:在配置ACL之前,需明确要保护的网络资源和限制的网络流量类型,以便针对性地配置ACL规则。
2. 创建ACL规则:根据网络资源的保护需求和限制要求,设置ACL规则。
可以使用命令行界面(CLI)或图形用户界面(GUI)进行配置。
3. 规则优先级:规则的顺序非常重要,ACL规则按照从上到下的顺序逐条匹配,匹配成功后立即执行相应的动作。
因此,应将最常见或最具限制性的规则放在前面。
4. 匹配条件:根据需要设置匹配条件,常见的条件有源IP地址、目的IP地址、传输层协议和端口号等。
更复杂的条件可结合使用。
5. 动作设置:根据匹配结果设置动作,可以是允许通过、拒绝或执行其他操作,如重定向、日志记录等。
6. 应用ACL:在需要进行流量控制和保护的设备上应用ACL配置,使其生效。
三、ACL优化方法1. 精简ACL规则:定期审查ACL规则,删除不必要的规则。
过多或冗余的规则会影响ACL匹配性能。
2. 规则合并:将具有相同动作和相似匹配条件的规则合并,减少规则数量,提高ACL处理效率。
3. 设置默认规则:通过设置默认规则,对未匹配到的数据包进行统一配置,避免未预期的情况。
基于时间策略的ACL访问控制列表限速
第一章设置时间策略time-range A8:30 to 12:00 daily \\设置时间策略C,时间范围08:30至12:00,每天设置时间策略,命名为随意,参数daily=每天详细解析[M65-HN-SW01]time-range A 8:00 to 9:00 ?<0-6> Day of the week(0 is Sunday)Fri Friday星期五Mon Monday星期一Sat Saturday星期六Sun Sunday星期日Thu Thursday星期四Tue Tuesday星期二Wed Wednesday星期三daily Every day of the week每一天off-day Saturday and Sunday休息日即星期六和星期日working-day Monday to Friday工作日即星期一至星期五第二章ACL设置访问策略并关联时间策略acl number 3500rule 5 permit ip time-range A设置ACL 编号3500,明细内容为允许所有数据包通过,时间策略引用time-range A 第三章定义流类别traffic classifier 50Mif-match acl 3500定义一个类别,traffic classifier 50M,其中50M为自定义名称,引用ACL 3500策略第四章定义行为traffic behavior 50Mcar cir 51200 pir 51200 cbs 51200 pbs 51200 green pass yellow pass red discard 定义一个行为,自定义名称为50M,流量设置为50M第五章关联类别和行为traffic policy 50Mclassifier 50M behavior 50M定义一个策略,将类别和行为关联第六章应用在端口下interface GigabitEthernet0/0/5traffic-policy 50M inboundtraffic-policy 50M outbound在接口下调用traffic-policy 50M,设置出入限制总结:1.设置限速时间策略2.ACL与时间策略关联3.traffic policy调用ACL时间策略、调用限速策略。
基于时间的ACL
Cisco路由器的时间控制策略我们经常使用Access-list来进行控制,如果和时间相结合,控制起来将更加灵活。
Cisco从IOS版本12.0开始引入基于时间的访问表,可以实现某个时间点或时间段的控制,如:公司允许上网时间段为:每个工作日的早上8∶00到下午18∶00允许Web冲浪,其他时间禁止访问Internet。
实现基于时间的访问表只需要两个步骤:第一步,定义一个时间范围;第二步,在访问表中用Time-range引用刚刚定义的时间范围。
下面详细介绍一下它的使用方法。
一、定义时间范围定义时间范围又分为两个步骤。
1:使用全局Time-range命令来正确地指定时间范围。
格式:time-range time-range-nameTime-range-name用来标志时间范围的,以便在访问表中进行引用。
2:.使用Absolute(绝对时间)或者一个或多个Periodic(循环时间)语句来定义时间范围,每个时间范围只能有一个Absolute语句,但它可以有多个Periodic语句。
(1)格式:absolute [start time date] [end time date]Time以小时和分钟方式(hh:mm)输入时间。
Date以日、月、年方式输入日期。
如:absolute start 8:00 end18:00(2)格式:periodic days-of-the- week hh:mm to [days-of-the-week]hh:mmDays-of-the-week产生作用的某天或某几天;参数可以是单一的一天(如Monday)某几天(Monday到Friday)或Daily、Weekday或Weekend。
Daily/从星期一到星期天。
Weekday Weekend /从星期一到星期五。
/星期六和星期日。
periodic weekend 8:00 to 18:00 /从星期六早上8∶00到星期天晚上18∶00periodic daily 8:00 to 18:00/一周中的每天8∶00到18∶00periodic wednesday 15:00 to saturday 8:00 /从星期三的15∶00到星期六的8∶00二、在访问表中用Time-range引用刚刚定义的时间范围如:ip access-list 101 permit any any eq 80 time-range time-range-nameTime-range-name是用Time-range定义的名称。
项目8.4-基于时间ACL配置
项目8.4-基于时间ACL配置项目八局域网安全与管理模块8.4 基于时间ACL配置模块8.4 基于时间ACL配置内容简介描述基于时间的ACL相关知识和技能训练,重点是绝对时间及相对时间定义及应用配置等。
23知识目标、技能点了解基于时间ACL的定义及应用;掌握基于时间ACL配置技能。
模块8.4 基于时间ACL配置48.4.1 问题提出前面学习过任何ACL,无论是标准ACL还是扩展ACL,都与时间没有关系,也就是这些ACL规则一旦应用到某个端口上,就始终发挥作用。
但ACL在实际应用过程中,有时却要求ACL与时间有关。
这就需要ACL引入时间变量,也就是基于时间的ACL。
模块8.4 基于时间ACL配置8.4.2 相关知识1.基于时间的ACL概述基于时间的ACL是在前面定义的ACL基础上,增加一个表示使得ACL生效的特定时间范围变量。
带有时间范围变量的ACL就只有在时间范围变量规定的时间内生效。
5模块8.4 基于时间ACL配置6模块8.4 基于时间ACL配置时间变量有两种类型:绝对时间和相对时间。
绝对时间:从××年××月××日××时××分××秒起,到××年××月××日××时××分××秒止。
如从2001年6月13日0:00到2015年1月20日24:00,是指一个具体的时间范围。
相对时间:一周中哪一(几)天。
每周的这一(几)天都生效。
如周一8:00-16:00等,是指一个有循环规律的时间范围。
7 一个时间范围变量可以只有绝对时间或相对时间,也可以既有绝对时间又有相对时间。
如果是既有绝对时间又有相对时间的情况下,时间范围是指在绝对时间定义范围的相对时间内ACL生效。
如在2001年6月13日0:00到2015年1月20日24:00内的每周一8:00至16:00等。
基于时间的ACL配置实例
time-range:用来定义时间范围;time-range-name:时间范围名称,用来标识时间范围,以便在后面的访问列表中引用;absolute:该命令用来指定绝对时间范围。
它后面紧跟start和end两个关键字。
在两个关键字后面的时间要以24小时制和“hh: mm(小时:分钟)”表示,日期要按照“日/月/年”形式表示。
这两个关键字也可以都省略。
如果省略start及其后面的时间,表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止; 若省略end及其后面的时间,表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且永远发生作用(当然如把访问列表删除了的话就不会起作用了)。
为了便于理解,下面看两个例子。
如果要表示每天早8点到晚6点开始起作用,可以用这样的语句:absolute start 8∶00 end 18∶00再如,我们要使一个访问列表从2003年1月1日早8点开始起作用,直到2003年1月10日晚23点停止作用,命令如下:absolute start 8∶00 1 January 2003 end 23∶00 10 January 2003这样我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。
接下来,介绍一下periodic命令及其参数。
一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要以星期为参数来定义时间范围。
它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
我们还是来看几个具体的例子。
比如表示每周一到周五的早9点到晚10点半,命令如下:periodic weekday 9∶00 to 22∶30每周一早7点到周二的晚8点可以这样表示:periodic Monday to Tuesday 20∶00在把时间范围定义清楚后,我们来看看如何在实际情况下应用这种基于时间的访问列表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章设置时间策略
time-range A8:30 to 12:00 daily \\设置时间策略C,时间范围08:30至12:00,每天设置时间策略,命名为随意,参数daily=每天
详细解析
[M65-HN-SW01]time-range A 8:00 to 9:00 ?
<0-6> Day of the week(0 is Sunday)
Fri Friday星期五
Mon Monday星期一
Sat Saturday星期六
Sun Sunday星期日
Thu Thursday星期四
Tue Tuesday星期二
Wed Wednesday星期三
daily Every day of the week每一天
off-day Saturday and Sunday休息日即星期六和星期日
working-day Monday to Friday工作日即星期一至星期五
第二章ACL设置访问策略并关联时间策略
acl number 3500
rule 5 permit ip time-range A
设置ACL 编号3500,明细内容为允许所有数据包通过,时间策略引用time-range A 第三章定义流类别
traffic classifier 50M
if-match acl 3500
定义一个类别,traffic classifier 50M,其中50M为自定义名称,引用ACL 3500策略
第四章定义行为
traffic behavior 50M
car cir 51200 pir 51200 cbs 51200 pbs 51200 green pass yellow pass red discard 定义一个行为,自定义名称为50M,流量设置为50M
第五章关联类别和行为
traffic policy 50M
classifier 50M behavior 50M
定义一个策略,将类别和行为关联
第六章应用在端口下
interface GigabitEthernet0/0/5
traffic-policy 50M inbound
traffic-policy 50M outbound
在接口下调用traffic-policy 50M,设置出入限制
总结:
1.设置限速时间策略
2.ACL与时间策略关联
3.traffic policy调用ACL时间策略、调用限速策略。