網(wǎng)絡(luò)設(shè)備配置與管理項目式教程（第3版） 課件 3.4基于時間的訪問控制列表配置

基于時間的訪問控制列表配置教學(xué)目標(biāo)能夠在三層設(shè)備中利用基于時間訪問控制列表按時間過濾數(shù)據(jù)流量；能夠根據(jù)訪問控制要求正確定義訪問控制時間范圍time-range；能夠根據(jù)訪問控制要求在網(wǎng)絡(luò)中選擇最佳的路由設(shè)備和接口配置基于時間的訪問控制列表；能夠進行基于時間訪問控制列表準確性的檢驗；能夠描述基于時間訪問控制列表的作用和基本規(guī)則；能夠按照網(wǎng)絡(luò)安全管理的基本規(guī)程進行操作。工作任務(wù)

一個中小企業(yè)網(wǎng)絡(luò)，為三個部門劃分了子網(wǎng)，分別為生產(chǎn)部、管理部和財務(wù)部，對應(yīng)子網(wǎng)分別是VLAN10、VLAN20和VLAN30。企業(yè)內(nèi)網(wǎng)服務(wù)器SERVER1中運行了WEB服務(wù)器，路由器RT2模擬Internet，服務(wù)器SERVER2模擬因特網(wǎng)服務(wù)器。在企業(yè)內(nèi)網(wǎng)服務(wù)器SERVER1上的WEB服務(wù)器中，保存了企業(yè)的核心數(shù)據(jù)，根據(jù)企業(yè)信息安全的要求，只允許內(nèi)網(wǎng)計算機在工作日的8:00~18:00之間訪問內(nèi)網(wǎng)WEB服務(wù)器，其它時間內(nèi)網(wǎng)計算機不允許訪問內(nèi)網(wǎng)WEB服務(wù)器，外網(wǎng)計算機任何時間都不允許訪問內(nèi)網(wǎng)的WEB服務(wù)器；并且在工作日的8:00~18:00之間，不允許生產(chǎn)部和財務(wù)部的計算機訪問因特網(wǎng)，其它時間允許訪問因特網(wǎng)，管理部的計算機對因特網(wǎng)的訪問不受時間限制。作為網(wǎng)絡(luò)管理員，希望你進行適當(dāng)?shù)呐渲?，在確保各部門計算機對網(wǎng)絡(luò)共享資源訪問的條件下，實現(xiàn)在規(guī)定的時間內(nèi)對內(nèi)網(wǎng)WEB服務(wù)器的訪問，限制生產(chǎn)部和財務(wù)部的計算機在工作時間對因特網(wǎng)的訪問。網(wǎng)絡(luò)拓撲利用基于時間的訪問控制列表按時間過濾數(shù)據(jù)流量操作步驟（演示）步驟1．在三層交換機SW1上創(chuàng)建VLAN，將相應(yīng)端口加入VLAN，并配置交換虛擬接口（SVI）地址。步驟2．配置路由器名稱和端口IP地址。步驟3．在三層交換機SW1、路由器RT1上配置路由。步驟4．在三層交換機SW1、路由器RT1和RT2上配置默認路由。步驟5．測試網(wǎng)絡(luò)連通性。步驟6．在路由器RT1的F1/0接口出方向配置基于時間訪問控制列表。步驟7．在三層交換機SW1的虛擬接口VLAN40的出方向配置基于時間的訪問控制列表。步驟8．驗證訪問控制的有效性。步驟9．查看訪問控制列表的正確性。操作要領(lǐng)

基于時間的訪問控制列表，可以是標(biāo)準訪問控制列表，也可以是擴展訪問控制列表。基于時間擴展訪問控制列表也應(yīng)盡量放置在接近數(shù)據(jù)流的源的路由設(shè)備端口，以減少被過濾數(shù)據(jù)對網(wǎng)絡(luò)資源的使用，提高系統(tǒng)效率。調(diào)試基于時間的訪問控制列表時，必須在特權(quán)模式用“clock”命令，修改有時間訪問控制列表作用的路由設(shè)備系統(tǒng)時間，以驗證配置有效性。沒有配置時間訪問列表路由設(shè)備不需要修改系統(tǒng)時間。相關(guān)知識—基本概念基于時間的訪問控制列表適用范圍在原標(biāo)準ACL和擴展ACL中，加入有效的時間范圍來更合理、高效地控制網(wǎng)絡(luò)流量。先定義一個時間范圍，再在原各種訪問控制列表的基礎(chǔ)上應(yīng)用它。對于編號的訪問控制列表和名稱的訪問控制列表均適用。相關(guān)知識—配置方法配置方法：第一步，定義一個時間范圍；第二步，在訪問控制列表中用關(guān)鍵字time-range引用第一步定義的時間范圍。相關(guān)知識—配置方法定義時間范圍分兩個步驟。在全局模式下用time-range命名時間范圍。格式：time-rangetime-range-name

這里time-range是關(guān)鍵字；time-range-name是時間范圍名稱，用來標(biāo)識時間范圍，以便在后面訪問控制列表中引用。進入配置時間范圍子接口定義時間范圍。使用absolute語句或者一個或多個periodic語句來定義時間范圍，每個時間范圍最多只能有一個absolute語句，但它可以有多個periodic語句。相關(guān)知識—配置方法absolute語句格式：absolute[starttimedate][endtimedate]該命令用來指定絕對時間范圍。它后面緊跟start和end兩個關(guān)鍵字。兩個關(guān)鍵字后面的時間要以24小時制和“hh：mm（小時：分鐘）”表示，日期要以日、月、年形式表示。這兩個關(guān)鍵字都可以省略。如果省略start及其后面的時間，表示與之相聯(lián)系的permit或者deny語句立即生效，并一直作用到end處的時間為止；若省略end及其后面的時間，表示與之相聯(lián)系的permit或者deny語句在start處表示的時間開始生效，并且永遠生效。（當(dāng)然如果把訪問控制列表刪除，就不會再發(fā)生作用了。）相關(guān)知識—配置方法舉例要表示每天早8點到晚6點起作用可以用這樣的語句：absolutestart8:00end18:00要使訪問控制列表從2008年8月8日早8點開始起作用，直到2012年12月12日早12時停止作用，命令如下：absolutestart8:008August2008end12:0012December2012相關(guān)知識—配置方法periodic語句格式：periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm該命令主要以星期為單位定義時間范圍。days-of-the-week其主要參數(shù)有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合，也可以是Daily（每天）、Weekday（周一到周五）或者Weekend（周末）。相關(guān)知識—配置方法舉例表示每周一到周五的早9點到晚5點，命令如下：periodicweekday9:00to17:00從每周一早6點到周二晚6點可以表示成：periodicMonday6:00toTuesday18:00一周中每天8點到18點可以表示成：periodicdaily8:00to18:00相關(guān)知識—配置方法在訪問控制列表中用關(guān)鍵字time-range引用第一步定義的時間范圍：ipaccess-list100permittcphostanyeq80time-rangetime-range-name這里的time-range-name是第一步在全局模式用time-range命令定義的時間范圍名稱。相關(guān)知識—工作任務(wù)配置方法限制對內(nèi)網(wǎng)WEB服務(wù)器的訪問：RT1(config)#time-rangeworktimeRT1(config-time-range)#periodicweekdays8:00to18:00RT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#access-list101permittcp55hosteqwwwtime-rangeworktimeRT1(config)#intf1/0RT1(config-if)#ipaccess-group101out相關(guān)知識—配置方法限制對互聯(lián)網(wǎng)的訪問：RT1(config)#time-rangeworktimeRT1(config-time-range)#periodicweekdays8:00to18:00RT1(config-time-range)#exitRT1(config)#access-list102denytcp55anyeqwwwtime-rangeworktimeRT1