演示：带时间ACL的配置-白红宇

演示：带时间ACL的配置

阅读量：6484 次

发布时间：2019-06-23

本文共 2920 字，大约阅读时间需要 9 分钟。

演示：带时间ACL的配置

在某些环境中，可能会出现这样一种需求：在每个工作日（星期一到星期五）的8：30－17：30可以访问公司内部的某些服务，下班后和非工作日则不能访问。在这种情况下标准的ACL和扩展的ACL就无法满足控制需求，所以这里产生了带时间的访问控制列表，带时间的访问控制列表从使用原则与语法上讲与基础ACL没有太大区别，区别在于它能使控制策略在不同的时间段生效。

配置带时间ACL的注意事项：

n配置带时间的ACL必须保证网络上的时钟是同步，可以分别到路由器设置时间，也可以通过NTP（网络时钟协议）来同步网络中的时间。

n配置带时间的ACL，必须要建立时间表。

n配置ACL的控制语句，然后将建立的时间表关联到ACL上。

演示：带时间ACL的配置

演示目标：配置带时间的ACL

演示环境：如下图10.17所示的演示环境。

演示背景：公司有提供两种Web服务，一个是基于众所周知80号端口的Web服务，一个是基于TCP8001端口的Web服务。要求主机A在每个工作日（星期一到星期五）的8：30－17：30可以访问公司基于众所周之端口号80的Web服务，但是不允许访问TCP端口是8001的Web服务，在非工作时间（星期一到星期五的17:31-8:29,星期六和星期天的全天）才可以访问TCP端口是8001的Web服务，但是不能访问公司基于众所周知的Web服务，任何时间都可以访问DNS服务器，请使用带时间的ACL完成上述的控制要求。

演示步骤：

第一步：首先是为网络配置时钟同步，在路由器R1上配置时钟源，然后将其配置成时钟服务器既NTP服务器。最后路由器R2通过时钟服务器R1进行时钟同步，具体配置如下所示：

配置路由器R1的时钟源：

R1#clock set 00:52:30 18 jun 2012 * 配置路由器R1的时间（写作时的时间）

R1(config)#ntp master * 配置路由器R1为NTP服务器。

R1(config)#ntp source ethernet 1/1 * 指示NTP的更新源接口为路由器R1的E1/1。

配置路由器R2从NTP服务器获得时间同步：

R2(config)#ntp server 192.168.2.1 * 申明NTP服务器的IP地址（路由器R1的E1/1）

第二步：确保在没有配置ACL之前，主机A可以任意的访问192.168.3.100的各项服务，现在根据演示背景的要求，主机A在每个工作日（星期一到星期五）的8：30－17：30可以访问公司基于众所周之端口号80的Web服务，但是不允许访问TCP端口是8001的Web服务，在非工作时间（星期一到星期五的17:31-8:29,星期六和星期天的全天）才可以访问TCP端口是8001的Web服务，但是不能访问公司基于众所周知的Web服务，任何时间都可以访问DNS服务器，具体的配置如下：

在路由器R1上配置带时间的ACL：

R1(config)#time-range workday * 命名一个叫做“workday”的时间段。

R1(config-time-range)# ? * 使用帮助系统（？）查看时间段下可配置的指令。

Time range configuration commands:

absolute absolute time and date * 配置绝对时间的关键字

default Set a command to its defaults

exit Exit from time-range configuration mode

no Negate a command or set its defaults

periodic periodic time and date * 配置周期时间的关键字

绝对时间指一个具体的开始时间到一个明确的结束时间，绝对时间不具备复用性；周期时间，则具备复用性。在该演示环境中，使用周期时间来完成时间配置，具体配置如下：

R1(config-time-range)#periodic weekdays 08:30 to 17:30

* 配置可访问的工作日周期时间，关键字weekdays指示工作日（星期一到星期五）。