《網(wǎng)絡工程設計與項目實訓》-06 交換機端口安全與訪問控制列表

*第1頁第6章

交換機端口安全與訪問控制列表*第2頁學習目標掌握：交換機端口安全的基本原理掌握：標準訪問控制列表和擴展訪問控制列表理解：自反訪問控制列表理解：基于時間的ACL

學習完本次課程，您應該能夠：*第3頁課程內(nèi)容

交換機端口安全

ACL配置—標準ACL和擴展ACL

ACL高級配置--自反訪問控制列表ACL高級配置--基于時間的ACL*第4頁1交換機端口安全主要內(nèi)容交換機端口安全交換機端口安全的配置及案例*第5頁1.1交換機端口安全1）交換機端口安全概述交換機端口安全，是指為了保障用戶的安全接入，對交換機的端口進行安全屬性的設置。交換機端口安全主要包含三個方面的內(nèi)容：一是限制交換機端口的最大連接數(shù)量；二是限制交換機端口連接設備為指定的設備（根據(jù)交換機端口的地址綁定）。三是，當出現(xiàn)違例事件時，能檢測出來，并進行指定的處理措施。限制交換機端口的最大連接數(shù)量可以控制交換機端口下連的主機數(shù)，并防止用戶未經(jīng)批準私自采用集線器等設備，擴展網(wǎng)絡的設備數(shù)量；也可以防止用戶進行惡意的ARP欺騙。比如，公司一些員工為了增加網(wǎng)絡終端的數(shù)量，會在未經(jīng)授權的情況下，將集線器、交換機等設備插入到辦公室的網(wǎng)絡接口上。如此的話，會導致這個網(wǎng)絡接口對應的交換機接口流量增加，從而導致網(wǎng)絡性能的下降。在企業(yè)網(wǎng)絡日常管理中，這也是經(jīng)常遇到的一種危險的行為。*第6頁交換機端口的地址綁定，可以針對IP地址、MAC地址、IP＋MAC進行靈活的綁定?？梢詫崿F(xiàn)對用戶進行嚴格的控制。保證用戶的安全接入和防止常見的內(nèi)網(wǎng)的網(wǎng)絡攻擊。通過交換機端口安全中的地址綁定，可以防止未經(jīng)授權的用戶主機隨意連接到企業(yè)的網(wǎng)絡中，從而避免一些網(wǎng)絡安全問題的發(fā)生。比如，公司員工從自己家里拿來一臺電腦，可以在不經(jīng)管理員同意的情況下，拔下某臺主機的網(wǎng)線，插在自己帶來的電腦上。然后連入到企業(yè)的網(wǎng)路中，這會帶來很大的安全隱患。如員工帶來的電腦可能本身就帶有病毒。從而使得病毒通過企業(yè)內(nèi)部網(wǎng)絡進行傳播，或者非法復制企業(yè)內(nèi)部的資料等等。*第7頁2）交換機端口安全地址（secureMACaddress）在交換機端口上激活端口安全后，該端口就具備了一定的安全功能，例如能夠限制端口（所連接的）的最大MAC地址數(shù)量，從而限制接入的主機用戶數(shù)量；或者限定接口所連接的特定MAC地址，從而實現(xiàn)接入用戶身份的限制。所有這些過濾或者限制動作的依據(jù)，是交換機端口維護的一個安全地址表。安全地址表中的地址的獲取有三種方式：通過端口動態(tài)學習得到MAC地址；通過管理員在端口下手工配置得到；通過黏滯自動得到安全地址。*第8頁3）安全違例的處理方式配置了交換機的端口安全功能后，當實際應用超出配置的要求時，比如，超過了設置最大接入數(shù)量，或接入計算機的MAC地址與設置不符等，將產(chǎn)生一個安全違例，對安全違例的處理方式有3種：（1）Protect：當新的計算機接入時，如果發(fā)生安全違例，只是將安全違例的數(shù)據(jù)包丟棄，不會有其他行為。也即只是這個新的計算機將無法接入，但原有已接入的計算機不受影響。如果在端口設置了最大接入數(shù)量，且已達到接入最大數(shù)量的情況下，新接入的MAC地址的包將被丟棄，直到MAC地址表中的安全MAC地址數(shù)降到所配置的最大安全MAC地址數(shù)以內(nèi)，或者增加最大安全MAC地址數(shù)。而且這種行為沒有安全違例行為發(fā)生通知。*第9頁（2）Restrict：當新的計算機接入時，如果發(fā)生安全違例，則這個新的計算機將無法接入，而原有接入的計算機不受影響。但這種行為模式會有一個SNMP捕獲消息發(fā)送，并記錄系統(tǒng)日志，違例計數(shù)器增加1。SNMP捕獲通知發(fā)送的頻率可以通過snmp-serverenabletrapsport-securitytrap-rate命令來控制,默認值為0，表示在發(fā)生任何安全違例事件時發(fā)送SNMP捕獲通知。（3）Shutdown：當新的計算機接入時，如果發(fā)生安全違例，則該接口將會被關閉，則這個新的計算機和原有的計算機都無法接入。發(fā)生安全違例事件時，端口立即呈現(xiàn)錯誤（error-disabled）狀態(tài)，關閉端口（端口指示燈熄滅）。同時也會發(fā)送一個SNMP捕獲消息并記錄系統(tǒng)日志，違例計數(shù)器增加1。當端口因為違例而被關閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復過來。*第10頁1.2交換機端口安全的配置交換機端口安全的配置步驟：（1）在接口上啟用端口安全。端口安全開啟后，端口安全相關參數(shù)都采用有默認配置。（2）配置每個接口的安全地址（SecureMACAddress）。可通過交換機動態(tài)學習、手工配置、以及stciky等方式創(chuàng)建安全地址（3）配置端口安全的違例處理方式默認為shutdown，可選的還有protect、restrict。（4）配置安全地址老化時間（可選）。*第11頁1）啟用交換機端口安全模式：接口配置模式命令格式：Switch(config-if)#switchportport-security說明：啟用交換機端口安全功能。啟用交換機端口安全的端口必須工作在ACCESS模式下。當端口工作在該模式時，端口用來接入計算機，啟用端口安全命令時接口模式一定要處于靜態(tài)模式，如果接口處于動態(tài)模式，則不能啟用端口安全功能。*第12頁2）限定端口可連接設備的最大值模式：接口配置模式命令格式：Switch(config-if)#switchportport-securitymaximum最大設備數(shù)說明：設置此端口下可連接的最大設備數(shù)目。如果端口下通過級聯(lián)交換機擴展連入網(wǎng)絡的計算機數(shù)量，請注意在計算設備數(shù)量時，要包含級聯(lián)的交換機。在CiscoPacketTracer中交換機的端口安全的最大設備數(shù)為1到132。默認MAC地址數(shù)目為1。*第13頁3）配置交換機端口的地址綁定模式：接口配置模式命令格式：Switch(config-if)#switchportport-securitymac-addressMAC地址

[ip-addressIP地址]說明：用于將端口與其連接的設備的MAC地址、IP地址相綁定。非綁定地址的設備不能從此端口接入到網(wǎng)絡中。Cisco的二層交換機的端口安全只支持MAC地址綁定，三層交接機才支持IP地址綁定。*第14頁4）配置交換機端口的自動黏滯安全MAC地址模式：接口配置模式命令格式：Switch(config-if)#switchportport-securitymac-addresssticky說明：啟用黏滯獲取安全MAC地址時，接口將所有動態(tài)安全MAC地址（包括那些在啟用黏滯獲取之前動態(tài)獲得的MAC地址）轉換為黏滯安全MAC地址，并將所有黏滯安全MAC地址添加到運行配置。交換機正常學習到的地址，當端口down掉后會丟失；而通過sticky學習到的地址，不會因端口的down掉而丟失，如果在學習完畢后，將運行配置保存到啟動配置文件中，即使交換機斷電重啟后，先前學習的安全地址仍然存在。這條命令可以將網(wǎng)絡管理員從手工查找指定網(wǎng)絡MAC地址，并將其加入到端口安全列表中的繁瑣工作中解脫出來。*第15頁5）設置安全違例的處理方式模式：接口配置模式命令格式：Switch(config-if)#switchportport-securityviolation[protect|restrict|shutdown]說明：Protect只是丟棄違例的數(shù)據(jù)包，不會報告。Restrict會丟棄違例數(shù)據(jù)包，并產(chǎn)生一個報告。Shutdown在當違例發(fā)生時，會關閉端口，并產(chǎn)生一個報告。默認是關閉端口(shutdown)。如果一個端口允許多個接入設備時，應避免使用shutdown處理方式，因為一旦產(chǎn)生違例，此端口下的所有設備都將不能接入網(wǎng)絡。*第16頁6）配置交換機端口的安全地址的老化時間模式：接口配置模式命令格式：Switch(config-if)#switchportport-securityaging{static|timetime}說明：Static：表示老化時間將同時應用于手工配置的安全地址和自動學習的地址，否則只應用于自動學習的地址。Time：表示這個端口上安全地址的老化時間，范圍是0—1440，單位是分鐘。如果設置為0，則老化功能實際上被關閉。默認情況下，不老化任何安全地址。*第17頁在正常端口（即沒有啟用端口安全的端口）下動態(tài)學習到的MAC地址，在老化時間到了之后，交換機會將它從MAC地址表中刪除。但對于啟用了PortSecurity的端口下的MAC地址，如果是通過安全命令靜態(tài)手工添加的，則不受MAC地址老化時間的限制，也就是說通過安全命令靜態(tài)手工添加的MAC在MAC地址表中永遠不會消失。而即使在PortSecurity接口下動態(tài)學習到的MAC地址，也永遠不會消失?；谏鲜鲈?，有時限制了PortSecurity端口下的最大MAC地址數(shù)量后，當相應的地址沒有活動了，為了騰出空間給其它需要通信的主機使用，則需要讓PortSecurity端口下的MAC地址具有老化時間，也就是說需要交換機自動將安全MAC地址刪除。對于sticky得到的MAC地址，不受老化時間限制，并且不能更改。*第18頁7）查看交換機的端口安全配置模式：特權模式命令格式：Switch#show

port-security[interfaces|address]說明：查看交接機端口安全的配置，以及安全配置的接口與安全地址表。*第19頁8）刪除交換機端口安全地址模式：特權模式命令格式：Switch#clear

port-security[all|configured|dynamic|sticky]說明：all，表示清除所有安全地址表項。configured，表示清除所有手工配置的安全地址表項；dynamic，表示清除所有port-security接口上通過動態(tài)學習到的安全地址表項；sticky，表示清除所有sticky安全地址表項；*第20頁1.3交換機端口安全案例A公司要求對網(wǎng)絡進行嚴格控制。為了防止公司內(nèi)部用戶的IP地址沖突，防止公司內(nèi)部的網(wǎng)絡攻擊和破壞行為，為每一位員工分配了固定的IP地址，并且只允許公司員工主機連接到指定交換機的指定端口上，不得隨意連接在其他端口上。例如，B員工分配的IP地址是/24，主機MAC地址是00-06-1B-0A-0B-0C。該PC只能連接交換機SwitchA的Fastethernet0/1端口上。*第21頁【方案設計】根據(jù)網(wǎng)絡需要，可在交換機SwitchA的Fastethernet0/1端口上啟用端口安全，并將最大接入數(shù)量設置為1，且進行PC的MAC地址與IP地址綁定。違例處理方式采用restrict方式。*第22頁【具體配置】SwitchA(config)#interfacefastethernet0/1

SwitchA(config-if)#shutdown

SwitchA(config-if)#switchportmodeaccess

SwitchA(config-if)#switchportport-security

SwitchA(config-if)#switchportport-securitymaximum1

SwitchA(config-if)#switchportport-securitymac-address06.1b0a.0b0cip-address

SwitchA(config-if)#switchportport-securityviolationrestrictSwitchA(config-if)#noshutdown

*第23頁課程內(nèi)容

交換機端口安全ACL配置——標準與擴展ACLACL高級配置——自反ACLACL高級配置——基于時間的ACL*第24頁2ACL配置—標準與擴展ACL主要內(nèi)容訪問控制列表標準訪問控制列表配置及案例擴展訪問控制列表配置及案例*第25頁2.1訪問控制列表1）訪問控制列表（AccessControlList，ACL）訪問控制列表（ACL）是一種基于包過濾的訪問控制技術，它可以根據(jù)設定的條件對接口上的數(shù)據(jù)包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用于路由器和三層交換機。借助于訪問控制列表，可以有效地控制用戶對網(wǎng)絡的訪問，從而最大程度地保障網(wǎng)絡安全。訪問控制列表由一系列包過濾規(guī)則組成，每條規(guī)則明確地定義對指定類型的數(shù)據(jù)進行的操作（允許、拒絕等），訪問控制列表可關聯(lián)作用于三層接口、VLAN，并且具有方向性。當設備收到一個需要進行訪問控制列表處理的數(shù)據(jù)分組時，會按照訪問控制列表的表項自頂向下進行順序處理。一旦找到匹配項，列表中的后續(xù)語句就不再處理，如果列表中沒有匹配項，則此分組將會被丟棄。*第26頁2）訪問控制列表的作用訪問控制列表的主要作用如下：（1）拒絕、允許特定的數(shù)據(jù)流通過網(wǎng)絡設備，如防止攻擊、訪問控制、節(jié)省帶寬等；（2）對特定的數(shù)據(jù)流、報文、路由條目等進行匹配和標識，以用于其它目的路由過濾，如QoS、Route-map等*第27頁3）ACL的分類根據(jù)過濾字段（元素）可將訪問控制列表分為以下兩類：（1）標準訪問控制列表：只能根據(jù)數(shù)據(jù)包的源IP地址進行過濾；編號范圍：1-99。（2）擴展訪問控制列表：可以根據(jù)協(xié)議、源/目的IP地址、源/目的端口號進行包過濾。編號范圍：100-199。根據(jù)訪問控制列表的命名方式可將訪問控制列表分為以下兩類：（1）編號訪問控制列表：編號ACL在所有ACL中分配一個唯一的號碼。（2）名稱訪問控制列表：名稱ACL在所有ACL分配一個唯一的名稱。名稱ACL有利于讓使用者通過ACL的名稱了解此ACL的作用。更加有利于使用與維護。*第28頁4）ACL的使用ACL的使用分為二步：（1）創(chuàng)建訪問控制列表ACL，根據(jù)實際需要設置對應的條件項；（2）將ACL應用到路由器指定接口的指定方向（in/out）上。*第29頁在ACL的配置與使用需要注意以下事項：（1）ACL是自頂向下順序進行處理，一旦匹配成功，就會進行處理，且不再比對以后的語句，所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面，最不嚴格的語句放在底部。（2）當所有語句沒有匹配成功時，會丟棄分組。這也稱為ACL隱性拒絕。（3）每個接口在每個方向上，只能應用一個ACL。（4）標準ACL應該部署在距離分組的目的網(wǎng)絡近的位置，擴展ACL應該部署在距離分組發(fā)送者近的位置。*第30頁2.2標準訪問控制列表的配置及案例1）標準ACL的創(chuàng)建命令格式：Router(config)#access-listacl編號

{permit|deny}source[source-wildcard][log]說明：ACL編號：標準訪問控制列表的表號范圍：1--99、1300--1999。Source：源IP地址或網(wǎng)絡號；source-wildcard：與源IP地址或網(wǎng)絡號對應的通配掩碼；log：將使與該語句匹配的任何信息輸出到路由器的控制臺端口。默認情況下，這些消息不會顯示在連接到路由器的telnet連接，除非執(zhí)行如下命令：Router#terminalmonitor這些消息也可以轉發(fā)到系統(tǒng)上場服務器中，這樣的設置有助于調試和安全目的。*第31頁2）刪除配置的ACL命令格式：Router(config)#noaccess-listacl編號

說明：將指定的ACL刪除。*第32頁3）應用ACL到指定的接口命令格式：Router(config)#interface接口類型模塊號/接口號Router(config-if)#ipaccess-groupacl編號in|out

說明：in|out：是數(shù)據(jù)包相對路由器而言的。注意：一個路由器的一個接口的一個方向上只能指定一個ACL。*第33頁4）查看訪問控制列表命令格式：Ruijie(config)#showaccess-lists[access-list-number]說明：查看所有（或指定）的ACL的信息。5）通配符any和host通配符any可代替55，也即代表任何IP地址。host表示檢查IP地址的所有位都必須匹配，即對應的通配掩碼為。*第34頁配置舉例1：除拒絕主機之外，允許其他的所有分組都可以通過?？梢允褂靡韵旅?。Router(config)#access-list1denyRouter(config)#access-list1permit55下面的命令與上面的等效。Router(config)#access-list1denyhostRouter(config)#access-list1permitany*第35頁配置舉例2：A網(wǎng)絡的拓撲及各設備的IP地址，如圖6.2.1所示，現(xiàn)在需要通過標準訪問控制列表來限制網(wǎng)絡中一些設備的相互通信。具體如下：*第36頁I．禁止網(wǎng)段的機器訪問網(wǎng)段，其他人都可以訪問。Router(config)#access-list1deny55Router(config)#access-list1permitanyRouter(config)#interfaceFastEthernet1/0Router(config-if)#ipaccess-group1out說明：此時，在PC0上可以ping通PC2，但ping不通過PC3。置*第37頁II．如果現(xiàn)在網(wǎng)段中允許訪問，其他禁止。其他網(wǎng)段都允許訪問網(wǎng)段：Router(config)#access-list1permithostRouter(config)#access-list1deny55Router(config)#access-list1permitanyRouter(config)#interfaceFastEthernet1/0Router(config-if)#ipaccess-group1out說明：此時，在PC0上ping不通PC3，但PC1可以ping通PC3。PC2可以ping通PC3*第38頁2.3擴展訪問控制列表的配置及案例1）擴展ACL的創(chuàng)建格式：Router(config)#access-listacl編號

{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]*第39頁說明：ACL編號：擴展訪問控制列表的表號范圍：100--199、2000--2699。Protocol：可以是IP、ICMP、TCP、UDP、OSPF等Source：源IP地址或網(wǎng)絡號；source-wildcard：與源IP地址或網(wǎng)絡號對應的通配掩碼；destination：目的IP地址或網(wǎng)絡號；destination-wildcard：與目的源IP地址或網(wǎng)絡號對應的通配掩碼；operator：操作符，用于告訴路由器如何讓端口進行匹配；這些操作符僅能用于TCP和UDP連接。操作符有：lt（小于）、gt（大于）、neq（不等于）、eq（等于）、range（端口號范圍）；port：端口號或者端口名稱；established：僅用于TCP連接，使用此關鍵字的前提是，假設在網(wǎng)絡內(nèi)部產(chǎn)生TCP流量，并且要對回到網(wǎng)絡的返回流量進行過濾。在這種情況下，此關鍵字可以允許（或拒絕）任何TCP數(shù)據(jù)段報頭中RST或ACK位設置為1的TCP流量。*第40頁配置舉例3：B單位的網(wǎng)絡的拓撲及網(wǎng)段的IP地址，如圖6.2.2所示，其中，網(wǎng)段/24：企業(yè)一般員工使用；網(wǎng)段/24：企業(yè)財務部門使用；網(wǎng)段/24：企業(yè)網(wǎng)絡管理中心服務器。*第41頁現(xiàn)在網(wǎng)絡中需要使用擴展訪問控制列表進行一些網(wǎng)絡訪問控制。具體如下：I．/24網(wǎng)段只對外開放服務器2上的WWW和FTP服務，其他電腦及服務不對外開放。其他網(wǎng)段不可以訪問。Router(config)#access-list101permitTCPanyhost2eqwwwRouter(config)#access-list101permitTCPanyhost2eqftpRouter(config)#interfaceFastEthernet1/0Router(config-if)#ipaccess-group101out*第42頁ACL驗證（1）WWW服務驗證①打開PC0配置對話框，并點擊打開WebBrowser，如下圖所示。*第43頁②在瀏覽器中輸入2，可以打開服務器上的網(wǎng)頁。*第44頁（2）FTP服務的驗證①在服務器2配置FTP的用戶名、密碼及用戶權限，操作步驟如下圖所示。建立一個用戶名為stu，密碼為123，擁有read權限的用戶。從圖中也可以看到，F(xiàn)TP服務器有一個默認用戶cisco，并擁有所有權限。*第45頁②在PC0上登錄到服務器2的FTP服務，訪問結果如下圖所示。*第46頁II．/24網(wǎng)段主動對外進行TCP連接，如訪問WWW、FTP服務等，但外面不可以主動訪問/24網(wǎng)段內(nèi)的機器。Router(config)#access-list101permitTCPany

55establishedRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaccess-group101out*第47頁ACL驗證PC2可以打開WWW服務器2、2；但除外，不能主動訪問內(nèi)的機器。比如，不能從PC0上打開服務器2上的WWW服務。*第48頁課程內(nèi)容

交換機端口安全ACL配置——標準與擴展ACLACL高級配置——自反ACLACL高級配置——基于時間的ACL*第49頁3ACL高級配置—自反ACL主要內(nèi)容自反訪問控制列表自反訪問控制列表配置及案例*第50頁3.1自反訪問控制列表1）自反訪問控制列表（ReflexiveACL）自反訪問控制列表根據(jù)一個方向的訪問控制列表，自動創(chuàng)建出一個反方向的控制列表，是和原來的控制列表—IP的源地址和目的地址顛倒，并且源端口號和目的端口號完全相反的一個列表。自反訪問控制列表主要用來讓指定的網(wǎng)絡可以訪問外網(wǎng)，但外網(wǎng)不可以主動地訪問內(nèi)網(wǎng)。

*第51頁2）自反訪問控制列表的工作流程（1）由內(nèi)網(wǎng)始發(fā)的流量到達配置了自反訪問表的路由器，路由器根據(jù)此流量的第三層和第四層信息，自動生成一個臨時性的訪問表，臨時性訪問表的創(chuàng)建依據(jù)下列原則：protocol不變，source-IP地址、destination-IP地址嚴格對調，source-port、destination-port嚴格對調。對于ICMP這樣的協(xié)議，會根據(jù)類型號進行匹配。（2）路由器將此流量傳出，流量到達目標，然后響應流量從目標返回到配置了自反訪問表的路由器。（3）路由器對入站的響應流量進行評估，只有當返回流量的第三、四層信息，與先前基于出站流量創(chuàng)建的臨時性訪問表的第三、四層信息嚴格匹配時，路由器才會允許此流量進入內(nèi)部網(wǎng)絡。*第52頁3）自反訪問控制列表的超時自反訪問列表生成的自反訪問表中的條目是臨時性的。當?shù)搅艘欢〞r間后會失效并被刪除。自反訪問表的超時分成以下幾種情況：對于TCP流量，當下列三種情況任何一種出現(xiàn)時，才會刪除臨時性的訪問表：（1）兩個連續(xù)的FIN標志被檢測到，之后5秒鐘刪除。（2）RST標志被檢測到，立即刪除。（3）配置的空閑超時值到期（缺省是300秒）對于UDP，由于沒有各種標志，所以只有當配置的空閑超時值（300秒）到期才會刪除臨時性的訪問表。*第53頁4）自反訪問控制列表的特點：自反ACL用于動態(tài)管理會話流量。路由器檢查出站流量，當發(fā)現(xiàn)新的連接時，便會在臨時ACL中添加條目以允許應答流量進入。自反ACL僅包含臨時條目。自反ACL還可用于不含ACK或RST位的UDP和ICMP。自反ACL僅可在擴展命名IPACL中定義。幫助保護您的網(wǎng)絡免遭網(wǎng)絡黑客攻擊，并可內(nèi)嵌在防火墻防護中。提供一定級別的安全性，防御欺騙攻擊和某些DoS攻擊。自反ACL方式較難以欺騙，因為允許通過的數(shù)據(jù)包需要滿足更多的過濾條件。此類ACL使用簡單。與基本ACL相比，它可對進入網(wǎng)絡的數(shù)據(jù)包實施更強的控制。*第54頁3.2自反訪問控制列表的配置及案例1）自反ACL的配置步驟自反ACL只能在命名的擴展ACL中定義。自反ACL的配置分為三個步驟：（1）定義用于控制由內(nèi)網(wǎng)到外網(wǎng)流量的命名的擴展訪問控制列表，并在其中指定需要作自反映射的語句，并命名；*第55頁命令格式：Router(config)#ipaccess-listextended命名的擴展訪問控制列表的名稱Router(config-ext-nacl)#permit協(xié)議源IP通配符目的IP通配符reflect自反ACL名稱timeout時間參數(shù)說明：自反訪問控制列表，就是在命名擴展訪問列表定義的基礎上，多了一個關鍵字reflect，并給需要自反的ACL控制語句命名。關鍵字timeout用來指明自反訪問控制列表的超時時間，以秒為單位。*第56頁（2）定義用于控制從外網(wǎng)到內(nèi)網(wǎng)的訪問控制列表，在其中引用第一步自反命名的語句，以建立映射；命令格式：Router(config)#ipaccess-listextended命名的擴展訪問控制列表的名稱RA(config-ext-nacl)#evaluate自反ACL名稱參數(shù)說明： 此處的“命名的擴展訪問控制列表的名稱”應與第一步的中“命名的擴展訪問控制列表的名稱“不同。即此處相當于又定義了一個命名擴展訪問控制列表。但此處第二條命令中的“自反ACL名稱”必須與第一步中的“自反ACL名稱”相同。（3）將上面的定義的二個命名擴展訪問控制列表分別作用于內(nèi)、外接口。*第57頁2）自反ACL的應用案例【實驗環(huán)境】GNS3模擬器，Cisco路由器3745的IOS鏡像。【網(wǎng)絡拓撲結構】如圖6.3.1所示，網(wǎng)絡有三臺路由器R1、R2、R3串連在一起，路由器相連的接口的IP地址如圖所示。正常連接情況下，三臺路由器之間是可以相互ping通的?！九渲靡蟆楷F(xiàn)在要求路由器R1可以主動訪問路由器R3，但路由器R3卻不能主動訪問路由器R1。*第58頁【分析】本案例可以通過在路由器R2上部署自反訪問控制列表，讓路由器R1通往路由器R3的數(shù)據(jù)包通過，并且讓路由器R3對路由器R1的響應包也可以通過，但阻止R3主動發(fā)往路由器R1的包。*第59頁（1）定義內(nèi)網(wǎng)訪問外網(wǎng)的ACL，對需要進行進行自反映射的語句命名R2(config)#ipaccess-listextendedAAAR2(config-ext-nacl)#permitip55anyreflectBBB//指定對該條語句執(zhí)行自反，自反列表的名字為BBB*第60頁（2）定義外網(wǎng)訪問內(nèi)網(wǎng)的ACL，在其中引用內(nèi)網(wǎng)ACL中的自反語名命名R2(config)#ipaccess-listextendedCCCR2(config-ext-nacl)#evaluateBBB//計算并生成自反列表（對第一步定義的名字為BBB的條目，進行自反計算并生成相應的條目）R2(config-ext-nacl)#denyipanyany*第61頁（3）將創(chuàng)建的自反列表應用于相應的接口R2(config)#intf0/1 //R2對R3的接口R2(config-if)#ipaccess-groupAAAout //應用R1對R3的ACLR2(config)#intf0/0 //R2對R1的接口R2(config-if)#ipaccess-groupCCCout //應用R1對R3ACL的自反ACL注意：自反ACL只能在命名的擴展ACL里定義。*第62頁（4）驗證。此時，在R1上ping，可以發(fā)現(xiàn)是通的。在R3上ping，發(fā)現(xiàn)是不通的。*第63頁課程內(nèi)容

交換機端口安全ACL配置——標準與擴展ACLACL高級配置——自反ACLACL高級配置——基于時間的ACL*第64頁4ACL高級配置—基于時間的ACL主要內(nèi)容基于時間的訪問控制列表基于時間的訪問控制列表配置基于時間的訪問控制列表案例*第65頁4.1基于時間的訪問控制列表通過前面的訪問控制列表的學習，應該可以解決網(wǎng)絡中大部分過濾網(wǎng)絡數(shù)據(jù)包的要求了。但在實際工作中，有時會遇到要求根據(jù)時間的不同，執(zhí)行不同的數(shù)據(jù)包的過濾策略，這就要用到基于時間的訪問控制列表。基于時間的訪問控制列表屬于訪問控制列表的高級技巧之一?；跁r間的訪問控制列表是根據(jù)定義的特定時間段對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包進行過濾的一種技術。特定時間段可以是絕對時間段，也可以相對時間段。絕對時間段是指比如從具體的某年某月某時到某年某月某時。相對時間段可以是一周的不同星期，或者一天中的不同時間，或者兩者的結合。*第66頁基于時間的訪問控制列表，其實是擴展訪問控制列表的一個高級擴展功能，它具備以下作用：根據(jù)時間允許或拒絕用戶對資源的訪問，提供了更加精細與靈活的訪問控制。在Internet服務提供商對上網(wǎng)收費根據(jù)時間變化時，可以利用基于時間的訪問控制列表調節(jié)網(wǎng)絡數(shù)據(jù)流量?？梢愿鶕?jù)時間不同，實施不同的服務質量，為各種網(wǎng)絡應用提供更好的服務。通過基于時間的訪問控制列表可以控制日志消息的記錄時段，從而避開訪問高峰時段，方便管理的分析。*第67頁4.2基于時間的訪問控制列表的配置基于時間的訪問控制列表的配置可以分成三大步。首先確定時間范圍；其次定義帶有時間范圍的擴展訪問控制列表；最后，將擴展訪問控制列表作用在指定的路由器接口上。1）路由器的時間及時間范圍的設置（1）設置時區(qū)要使用基于時間的訪問控制列表，首先必須在路由器上配置正確的時間。要正確設置一個路由器（或交換機）的時間，首要的第一步是設定正確的時區(qū)。這成為第一步的理由是：如果你先設定了時間，而后再設定時區(qū)，那么你將不得不再次重新設定時間。設備時區(qū)的命令格式及參數(shù)說明如下：*第68頁命令格式：Router(config)#clocktimezone時區(qū)名稱時間偏移參數(shù)說明：時區(qū)名稱：由管理員自定義；時間偏移：是指你當前所在的地區(qū)相對格林威治標準時間（GMT，GreenwichMeanTime）相差多少小時。此字段的數(shù)值范圍為-23~23。比如我們在東8區(qū)，這個時間偏移為8。例：中國某地的某路由器，可以如下設置時區(qū)：Router(config)#clocktimezoneABC8上面的命令，將路由器的時區(qū)名稱設置為ABC，時間偏移設置為8。*第69頁（2）設置時鐘設定完畢時區(qū)后，就可以設定路由器的時間了。你必須在特權模式（PrivilegedMode），而不是全局配置模式（GlobalConfigurationMode）。設置時間的命令格式及參數(shù)說明如下：*第70頁命令格式：Router#clockset時:分:秒日月年參數(shù)說明：時間：指當前的時:分:秒。日：當前日期，數(shù)值在1~31之間。月：一年12個月的英文名稱。January、February、March、April、May、June、July、August、September、October、November、December。年：當前所處的年份。*第71頁注意：絕大多數(shù)Cisco路由器和交換機都沒有內(nèi)部時鐘，所以無法保存時間，也就是說機器斷電或重啟，將會丟失時間設置。唯一不會改變的是時區(qū)設置，因為路由器在它的配置文件中對其進行了保存。例：某路由器的時間可以如下設置：Router#clockset8:0:012nov2015上面的命令將路由器的時間設置為2015年11月12日8:00:00。*第72頁（3）定義時間范圍基于時間的訪問控制列表，必須要先定義好特定的時段，即需要進行特殊處理的時間范圍。時間范圍的定義包括二方面的內(nèi)容：時間范圍的名稱定義、時間范圍定義。時間范圍可以是絕對時間范圍，也可以是周期性的時間范圍。具體命令格式及參數(shù)如下：*第73頁I．定義時間范圍名稱命令格式：Router(config)#time-range時間范圍名稱Router(config-tmie-range)#參數(shù)說明：時間范圍名稱：由管理員自行對時間范圍進行命名。此命令執(zhí)行后，后進行時間范圍設置子模式中，在時間范圍設置子模式中，可以設置絕對時間范圍、周期性時間范圍、默認時間范圍等。*第74頁II．絕對時間范圍的定義命令格式：Router(config-time-range)#absolutestart時:分日月年end時:分日月年參數(shù)說明：時:分：小時與分鐘，24小時格式。日：取值范圍1~31，表示一個月中的哪一天。月：十二個月的英文名稱；年：我做實驗的Cisco路由器支持的取值范圍為1993~2035。絕對時間范圍是從start開始，到end結束，如果沒有配置end，將一直持續(xù)下去。一個時間范圍的名稱中，只能有一個絕對時間定義語句。*第75頁III．周期性時間范圍的定義命令格式：Router(config-time-range)#periodic天時:分to天時:分參數(shù)說明：天：可以是一個星期中的任何一天，對應的英文單詞分別為：Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday等。另外，weekdays表示從周一到周五；weekends表示周六、周日。時:分：小時與分鐘。24小時格式。一個時間范圍名稱中，可以有多個周期性定義語句。并且周期性定義語句中允許使用大量的參數(shù)，其范圍可以是一星期中的某一天、幾天的組合。*第76頁例：定義一個周期性時間范圍Work，即周一到周五每天上午8:00到12:00，下午14:00到18:00。Router(config)#time-rangeworkRouter(config-time-range)#periodicweekdays8:00to12:00Router(config-time-range)#periodicweekdays14:00to18:00*第77頁2）擴展訪問控制列表的配置（1）定義擴展訪問控制列表命令格式：Router(config)#access-listacl編號

{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][time-range時間范圍名稱]

參數(shù)說明：支持基于時間范圍的擴展訪問列表，會有一個time-range的關鍵字，在定義擴展訪問列表時，加上此關鍵字，并在其后跟上定義好的時間范圍名稱即可。例：定義允許在上例中定義的時間范圍內(nèi)訪問服務器的擴展訪問列表，如下所示：Router(config)#access-list101permitipanyhosttime-rangework*第78頁（2）將定義的擴展訪問列表作用到指定的路由器接口命令格式：Router(