基于時間的訪問控制列表配置教學目標能夠在三層設備中利用基于時間訪問控制列表按時間過濾數據流量；能夠根據訪問控制要求正確定義訪問控制時間范圍time-range；能夠根據訪問控制要求在網絡中選擇最佳的路由設備和接口配置基于時間的訪問控制列表；能夠進行基于時間訪問控制列表準確性的檢驗；能夠描述基于時間訪問控制列表的作用和基本規則；能夠按照網絡安全管理的基本規程進行操作。工作任務

一個中小企業網絡，為三個部門劃分了子網，分別為生產部、管理部和財務部，對應子網分別是VLAN10、VLAN20和VLAN30。企業內網服務器SERVER1中運行了WEB服務器，路由器RT2模擬Internet，服務器SERVER2模擬因特網服務器。在企業內網服務器SERVER1上的WEB服務器中，保存了企業的核心數據，根據企業信息安全的要求，只允許內網計算機在工作日的8:00~18:00之間訪問內網WEB服務器，其它時間內網計算機不允許訪問內網WEB服務器，外網計算機任何時間都不允許訪問內網的WEB服務器；并且在工作日的8:00~18:00之間，不允許生產部和財務部的計算機訪問因特網，其它時間允許訪問因特網，管理部的計算機對因特網的訪問不受時間限制。作為網絡管理員，希望你進行適當的配置，在確保各部門計算機對網絡共享資源訪問的條件下，實現在規定的時間內對內網WEB服務器的訪問，限制生產部和財務部的計算機在工作時間對因特網的訪問。網絡拓撲利用基于時間的訪問控制列表按時間過濾數據流量操作步驟（演示）步驟1．在三層交換機SW1上創建VLAN，將相應端口加入VLAN，并配置交換虛擬接口（SVI）地址。步驟2．配置路由器名稱和端口IP地址。步驟3．在三層交換機SW1、路由器RT1上配置路由。步驟4．在三層交換機SW1、路由器RT1和RT2上配置默認路由。步驟5．測試網絡連通性。步驟6．在路由器RT1的F1/0接口出方向配置基于時間訪問控制列表。步驟7．在三層交換機SW1的虛擬接口VLAN40的出方向配置基于時間的訪問控制列表。步驟8．驗證訪問控制的有效性。步驟9．查看訪問控制列表的正確性。操作要領

基于時間的訪問控制列表，可以是標準訪問控制列表，也可以是擴展訪問控制列表。基于時間擴展訪問控制列表也應盡量放置在接近數據流的源的路由設備端口，以減少被過濾數據對網絡資源的使用，提高系統效率。調試基于時間的訪問控制列表時，必須在特權模式用“clock”命令，修改有時間訪問控制列表作用的路由設備系統時間，以驗證配置有效性。沒有配置時間訪問列表路由設備不需要修改系統時間。相關知識—基本概念基于時間的訪問控制列表適用范圍在原標準ACL和擴展ACL中，加入有效的時間范圍來更合理、高效地控制網絡流量。先定義一個時間范圍，再在原各種訪問控制列表的基礎上應用它。對于編號的訪問控制列表和名稱的訪問控制列表均適用。相關知識—配置方法配置方法：第一步，定義一個時間范圍；第二步，在訪問控制列表中用關鍵字time-range引用第一步定義的時間范圍。相關知識—配置方法定義時間范圍分兩個步驟。在全局模式下用time-range命名時間范圍。格式：time-rangetime-range-name

這里time-range是關鍵字；time-range-name是時間范圍名稱，用來標識時間范圍，以便在后面訪問控制列表中引用。進入配置時間范圍子接口定義時間范圍。使用absolute語句或者一個或多個periodic語句來定義時間范圍，每個時間范圍最多只能有一個absolute語句，但它可以有多個periodic語句。相關知識—配置方法absolute語句格式：absolute[starttimedate][endtimedate]該命令用來指定絕對時間范圍。它后面緊跟start和end兩個關鍵字。兩個關鍵字后面的時間要以24小時制和“hh：mm（小時：分鐘）”表示，日期要以日、月、年形式表示。這兩個關鍵字都可以省略。如果省略start及其后面的時間，表示與之相聯系的permit或者deny語句立即生效，并一直作用到end處的時間為止；若省略end及其后面的時間，表示與之相聯系的permit或者deny語句在start處表示的時間開始生效，并且永遠生效。（當然如果把訪問控制列表刪除，就不會再發生作用了。）相關知識—配置方法舉例要表示每天早8點到晚6點起作用可以用這樣的語句：absolutestart8:00end18:00要使訪問控制列表從2008年8月8日早8點開始起作用，直到2012年12月12日早12時停止作用，命令如下：absolutestart8:008August2008end12:0012December2012相關知識—配置方法periodic語句格式：periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm該命令主要以星期為單位定義時間范圍。days-of-the-week其主要參數有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合，也可以是Daily（每天）、Weekday（周一到周五）或者Weekend（周末）。相關知識—配置方法舉例表示每周一到周五的早9點到晚5點，命令如下：periodicweekday9:00to17:00從每周一早6點到周二晚6點可以表示成：periodicMonday6:00toTuesday18:00一周中每天8點到18點可以表示成：periodicdaily8:00to18:00相關知識—配置方法在訪問控制列表中用關鍵字time-range引用第一步定義的時間范圍：ipaccess-list100permittcphostanyeq80time-rangetime-range-name這里的time-range-name是第一步在全局模式用time-range命令定義的時間范圍名稱。相關知識—工作任務配置方法限制對內網WEB服務器的訪問：RT1(config)#time-rangeworktimeRT1(config-time-range)#periodicweekdays8:00to18:00RT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#intf1/0RT1(config-if)#ipaccess-group101out相關知識—配置方法限制對互聯網的訪問：RT1(config)#time-rangeworktimeRT1(config-time-range)#periodicweekdays8:00to18:00RT1(config-time-range)#exitRT1(config)#access-list102denytcp55anyeqwwwtime-rangeworktimeRT1