网络层访问权限控制技术ACL详解

　　然后，让我们看看ACL应该在哪个位置配置比较好呢？由于是对访问Internet进行控制，涉及到的是公司内部任何的网段，这们这次把ACL就放到公司的Internet出口处。在RTA上进行如下的配置，就能够满足领导的需要了：
time-range TR1

　　absolute start 00:00 1 June 2003 end 00:00 3 June 2003

　　periodic weekdays start 9:00 18:00

　　exit

　　ip access-list extend internet_limit

　　deny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TR1

　　deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1

　　deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1

　　deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1

　　deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1

　　deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1

　　deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1

　　deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1

　　deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1

　　permit ip any any

　　int s0/0

　　ip access-group internet_limit out

　　或int fa0/0

　　ip access-group internet_limit in

　　或将ACL配置在SWA上，并

　　int vlan 3

　　ip access-group internet_limit out

　　呵呵，现在让我们来看看在基于时间的访问列表中都有哪些新内容吧：

　　time-range TR1：定义一个新的时间范围，其中的TR1是为该时间范围取的一个名字。

　　absolute：为绝对时间。只使用一次。能够定义为1993-2035年内的任意一个时点。具体的用法请使用？命令查看。
Periodic：为周期性重复使用的时间范围的定义。完整格式为periodic 日期关键字 开始时间 结束时间。其中日期关键字的定义如下所示：

　　Monday 星期一

　　Tuesday 星期二

　　Wednesday 星期三

　　Thursday 星期四

　　Friday 星期五

　　Saturday 星期六

　　Sunday 星期天

　　daily 每天

　　weekdays 周一至五

　　weekend 周末

　　access-list 101 deny ip 10.1.0.0 0.0.255.255 any time-range TR1:注意这一句最后的time-range TR1，使这条ACL语句和time-range TR1相关联，表明这条语句在time-range TR1所定义的时间范围内才起作用。

　　注意：给出三种配置位置是帮助大家深刻理解关于in/out的区别的。acl是对从一个接上流入(in)或流出(out)路由器的包进行过滤的。

　　网管发问了，“您是怎么找到这些应用的所使用的端口的？”。呵呵，在如下文档中能够找到大多数应用的端口的定义：

　　Win9x:%windir%services

　　WinNT/2000/XP：%windir%system32driversetcservices

　　Linux：/etc/services

　　对于在services文档中很难找到端口的应用，能够在运行程式的前后，运行netstat –ap来找出应用所使用的端口号。
单向访问控制

　　使用IP ACL实现单向访问控制

　　A公司准备实行薪资的不透明化管理，由于现在的薪资收入数据还放在财务部门的Vlan中，所以公司不希望市场和研发部门能访问到财务部Vlan中的数据，另一方面，财务部门做为公司的核心管理部门，又希望能访问到市场和研发部门Vlan内的数据。我们的网管在接到这个需求后就在SWA上做了如下的配置：

　　ip access-list extend fi-access-limit

　　deny ip any 10.1.4.0 0.0.0.255

　　permit ip any any

　　int vlan 5

　　ip access-group fi-access-limit in

　　int vlan 6

　　ip access-group fi-access-limit in

　　配置做完后，测试了一下，市场和研发部门确实访问不到财务部了，刚准备休息一下，财务部打电话过来说为访问不到市场和研发部门的数据了。这是怎么回事呢？

　　让我们回忆一下，在两台主机A和B之间要实现通讯，需要些什么条件呢？答案是既需要A能向B发包，也需要B能向A发包，任何一个方向的包被阻断，通讯都不能成功，在我们的例子中就存在这样的问题，财务部访问市场或研发部门时，包到到市场或研发部门的主机，由这些主机返回的包在到达路由器SWA时，由于普通的ACL均不具备检测会话状态的能力，就被deny ip any 10.1.4.0 0.0.0.255这条ACL给阻断了，所以访问不能成功。

　　要想实现真正意义上的单向访问控制应该怎么办呢？我们希望在财务部门访问市场和研发部门时，能在市场和研发部门的ACL中临时生成一个反向的ACL条目，这样就能实现单向访问了。这里就需要使用到反向ACL技术。我们能够按照如下配置实例就能够满足刚才的那个单向访问需求：
　ip access-list extend fi-main

　　permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120

　　permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200

　　permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10