网络设备配置与管理项目式教程（第3版） 课件 3.4基于时间的访问控制列表配置

基于时间的访问控制列表配置教学目标能够在三层设备中利用基于时间访问控制列表按时间过滤数据流量；能够根据访问控制要求正确定义访问控制时间范围time-range；能够根据访问控制要求在网络中选择最佳的路由设备和接口配置基于时间的访问控制列表；能够进行基于时间访问控制列表准确性的检验；能够描述基于时间访问控制列表的作用和基本规则；能够按照网络安全管理的基本规程进行操作。工作任务

一个中小企业网络，为三个部门划分了子网，分别为生产部、管理部和财务部，对应子网分别是VLAN10、VLAN20和VLAN30。企业内网服务器SERVER1中运行了WEB服务器，路由器RT2模拟Internet，服务器SERVER2模拟因特网服务器。在企业内网服务器SERVER1上的WEB服务器中，保存了企业的核心数据，根据企业信息安全的要求，只允许内网计算机在工作日的8:00~18:00之间访问内网WEB服务器，其它时间内网计算机不允许访问内网WEB服务器，外网计算机任何时间都不允许访问内网的WEB服务器；并且在工作日的8:00~18:00之间，不允许生产部和财务部的计算机访问因特网，其它时间允许访问因特网，管理部的计算机对因特网的访问不受时间限制。作为网络管理员，希望你进行适当的配置，在确保各部门计算机对网络共享资源访问的条件下，实现在规定的时间内对内网WEB服务器的访问，限制生产部和财务部的计算机在工作时间对因特网的访问。网络拓扑利用基于时间的访问控制列表按时间过滤数据流量操作步骤（演示）步骤1．在三层交换机SW1上创建VLAN，将相应端口加入VLAN，并配置交换虚拟接口（SVI）地址。步骤2．配置路由器名称和端口IP地址。步骤3．在三层交换机SW1、路由器RT1上配置路由。步骤4．在三层交换机SW1、路由器RT1和RT2上配置默认路由。步骤5．测试网络连通性。步骤6．在路由器RT1的F1/0接口出方向配置基于时间访问控制列表。步骤7．在三层交换机SW1的虚拟接口VLAN40的出方向配置基于时间的访问控制列表。步骤8．验证访问控制的有效性。步骤9．查看访问控制列表的正确性。操作要领

基于时间的访问控制列表，可以是标准访问控制列表，也可以是扩展访问控制列表。基于时间扩展访问控制列表也应尽量放置在接近数据流的源的路由设备端口，以减少被过滤数据对网络资源的使用，提高系统效率。调试基于时间的访问控制列表时，必须在特权模式用“clock”命令，修改有时间访问控制列表作用的路由设备系统时间，以验证配置有效性。没有配置时间访问列表路由设备不需要修改系统时间。相关知识—基本概念基于时间的访问控制列表适用范围在原标准ACL和扩展ACL中，加入有效的时间范围来更合理、高效地控制网络流量。先定义一个时间范围，再在原各种访问控制列表的基础上应用它。对于编号的访问控制列表和名称的访问控制列表均适用。相关知识—配置方法配置方法：第一步，定义一个时间范围；第二步，在访问控制列表中用关键字time-range引用第一步定义的时间范围。相关知识—配置方法定义时间范围分两个步骤。在全局模式下用time-range命名时间范围。格式：time-rangetime-range-name

这里time-range是关键字；time-range-name是时间范围名称，用来标识时间范围，以便在后面访问控制列表中引用。进入配置时间范围子接口定义时间范围。使用absolute语句或者一个或多个periodic语句来定义时间范围，每个时间范围最多只能有一个absolute语句，但它可以有多个periodic语句。相关知识—配置方法absolute语句格式：absolute[starttimedate][endtimedate]该命令用来指定绝对时间范围。它后面紧跟start和end两个关键字。两个关键字后面的时间要以24小时制和“hh：mm（小时：分钟）”表示，日期要以日、月、年形式表示。这两个关键字都可以省略。如果省略start及其后面的时间，表示与之相联系的permit或者deny语句立即生效，并一直作用到end处的时间为止；若省略end及其后面的时间，表示与之相联系的permit或者deny语句在start处表示的时间开始生效，并且永远生效。（当然如果把访问控制列表删除，就不会再发生作用了。）相关知识—配置方法举例要表示每天早8点到晚6点起作用可以用这样的语句：absolutestart8:00end18:00要使访问控制列表从2008年8月8日早8点开始起作用，直到2012年12月12日早12时停止作用，命令如下：absolutestart8:008August2008end12:0012December2012相关知识—配置方法periodic语句格式：periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm该命令主要以星期为单位定义时间范围。days-of-the-week其主要参数有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是Daily（每天）、Weekday（周一到周五）或者Weekend（周末）。相关知识—配置方法举例表示每周一到周五的早9点到晚5点，命令如下：periodicweekday9:00to17:00从每周一早6点到周二晚6点可以表示成：periodicMonday6:00toTuesday18:00一周中每天8点到18点可以表示成：periodicdaily8:00to18:00相关知识—配置方法在访问控制列表中用关键字time-range引用第一步定义的时间范围：ipaccess-list100permittcphostanyeq80time-rangetime-range-name这里的time-range-name是第一步在全局模式用time-range命令定义的时间范围名称。相关知识—工作任务配置方法限制对内网WEB服务器的访问：RT1(config)#time-rangeworktimeRT1(config-time-range)#periodicweekdays8:00to18:00RT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#intf1/0RT1(config-if)#ipaccess-group101out相关知识—配置方法限制对互联网的访问：RT1(config)#time-rangeworktimeRT1(config-time-range)#periodicweekdays8:00to18:00RT1(config-time-range)#exitRT1(config)#access-list102denytcp55anyeqwwwtime-rangeworktimeRT1