基于時間的訪問控制列表的應用研究

摘 要: 基于時間的訪問控制列表是在特定時間段對網絡中傳輸的數據包進行過濾的一種技術，在實際工作中有著非常廣泛的應用。本文作者結合其校園網中的實際應用，以銳捷3750交換機為例，結合實際網絡拓撲結構，介紹了基于時間的訪問控制列表的使用方法。

關鍵詞: 訪問控制列表 基于時間 應用

1.訪問控制列表

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄級控制及屬性控制等多種手段。

訪問控制列表(ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至于數據包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。

訪問控制列表(ACL)是網絡防御的前沿陣地，它提供了一種可以控制通過路由器和交換機不同接口的信息流的機制。通過訪問控制列表來管理信息流，以達到指定相應的網絡策略。這種策略通過描述安全、時間等條件來反映流量的優先權。

2.幾種常見的訪問控制列表

(1)標準IP訪問控制列表。

一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。

(2)擴展IP訪問控制列表。

擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

(3)命名的IP訪問控制列表。

所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的語句與編號方式中相似。

3.基于時間的訪問控制列表

基于時間的訪問列表是在原來標準訪問列表和擴展訪問列表中加入有效的時間范圍來更合理、有效地控制網絡的。它先定義一個時間范圍，然后在原來的各種訪問列表的基礎上應用它，對于編號訪問列表和名稱訪問列表均適用。

4.應用舉例

我院網絡(1)(2)班教室里，每人一臺電腦，接入交換機與一臺RG3750交換機相連，可以全天候訪問Internet。但是，部分學生在上課時間還在上網，不注意聽講，影響了上課效果。于是，我想到利用基于時間的訪問控制列表對兩班教室進行上網控制，即只有課外時間才能上網，上課時間網絡會自動中斷，下課后又會自動開啟，以減少管理負擔。

基于時間的訪問控制列表的配置步驟通常是以下幾點。

(1)定義時間段及時間范圍。

【配置命令】

Switch#time-range free

absolute:該命令用來指定絕對時間范圍。它后面緊跟start和end兩個關鍵字。在兩個關鍵字后面的時間要以24小時制和“hh:mm(小時:分鐘)”表示，日期要按照“日/月/年”形式表示。這兩個關鍵字也可以都省略。如果省略start及其后面的時間，表示與之相聯系的permit或deny語句立即生效，并一直作用到end處的時間為止;若省略end及其后面的時間，表示與之相聯系的permit或deny語句在start處表示的時間開始生效，并且永遠發生作用(當然，如把訪問列表刪除了的話就不會起作用了)。

periodic:主要以星期為參數來定義時間范圍。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合，也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。

【配置命令】

Switch#periodic Weekend 8:00 to 21:00

Switch#periodic Weekdays 17:30 to 21:00

(2)ACL自身的配置，即將詳細的規則添加到ACL中。

Switch#ip access-list standard net

Permit 192.168.81.0.0.0.255 time-rang free

Permit 192.168.82.0.0.0.255 time-rang free

Deny any

網絡(1)班IP地址為192.168.81.x，網絡(2)班IP地址為192.168.82.x。

(3)宣告ACL，將設置好的ACL添加到相應的端口中。

Switch(config)#interface range fastEthernet0/1

Switch(config-if)#ip access-group net in

其中f0/1為網絡(1)班接入口，f0/2為網絡(2)班接入口。

(4)配置系統時間

至此，基于時間的訪問控制列表就配置完畢了，但是路由器或交換機的時間是否準確，也是一個非常關鍵的問題。所以，我們還須對交換機系統時間進行設置。

clock set hh:mm:ss day month year

【配置命令】

Switch#clock set 10:23:02 10 3 2010

基于時間的訪問控制列表的應用非常多，譬如有的公司要求其員工在上班時間內不能使用QQ、MSN等聊天軟件，但在休息時間可以正常訪問;學校宿舍區要求夜里11∶00以后斷網，以督促學生按時休息，等等。如果網絡管理員能熟練運用基于時間的訪問控制列表，就可以使工作事半功倍。

參考文獻:

[1]禹龍等.利用訪問控制列表提高網絡安全及實例[J].微計算機信息.

[2]王淵明等.基于時間的訪問控制列表的應用.山東通信技術，2005，(1).