任务3.4 基于时间的访问控制列表配置[15页]

如何设置局域网的访问控制列表局域网（Local Area Network，LAN）是一个相对独立的网络环境，通常是在企业、学校或家庭中使用的。

为了保护局域网的安全性，访问控制列表（Access Control List，ACL）是一项非常重要的设置。

通过ACL，我们可以限制局域网中设备的访问权限，确保只有授权的设备可以进入网络。

本文将详细介绍如何设置局域网的访问控制列表，以帮助您增强网络的安全性。

一、了解访问控制列表的概念与作用访问控制列表是一种网络安全技术，用于控制网络资源访问的权限。

它可以根据特定的规则来限制或允许设备、用户或者应用程序对网络资源的访问。

访问控制列表的作用主要体现在以下两个方面：1.1 设备过滤：ACL可以根据设备的MAC地址、IP地址或其他特征信息，对设备的访问进行过滤，只允许特定的设备进入局域网。

1.2 服务控制：ACL可以根据设备或用户对特定服务（如Web访问、邮件服务等）的访问策略进行控制，确保只有授权的设备或用户能够使用。

二、设置局域网的访问控制列表要设置局域网的访问控制列表，我们可以采取以下步骤：2.1 确定访问控制策略：在设置ACL之前，需要明确访问控制的策略，即要允许哪些设备或用户进入网络，要限制哪些设备或用户的访问。

根据实际需求，可以制定具体的策略，例如只允许特定的MAC地址进入局域网。

2.2 配置ACL规则：根据策略进行ACL规则的配置。

ACL规则通常包括源地址、目标地址和许可或拒绝的动作。

2.3 应用ACL规则：将配置好的ACL规则应用到局域网的相关设备上，以生效。

2.4 监测和更新ACL：定期监测ACL的效果，对ACL规则进行必要的更新和优化，以保持网络的安全性。

三、常见的访问控制列表配置场景以下是几种常见的访问控制列表配置场景：3.1 基于MAC地址的ACL：通过指定允许或拒绝特定MAC地址的方式进行访问控制，适用于对设备进行细粒度控制的场景。

3.2 基于IP地址的ACL：通过指定允许或拒绝特定IP地址的方式进行访问控制，适用于对特定IP地址进行控制的场景。

Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表：
上⾯我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。

不过实际⼯作中总会有⼈提出这样或那样的苛刻要求，这时我们还需要掌握⼀些关于ACL的⾼级技巧。

基于时间的访问控制列表就属于⾼级技巧之⼀。

⼀、基于时间的访问控制列表⽤途：
可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某⽹站只有到了周末可以。

对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的，这时基于时间的访问控制列表应运⽽⽣。

⼆、基于时间的访问控制列表的格式：
基于时间的访问控制列表由两部分组成，第⼀部分是定义时间段，第⼆部分是⽤扩展访问控制列表定义规则。

这⾥我们主要讲解下定义时间段，具体格式如下：
time-range时间段名称
absolute start [⼩时：分钟] [⽇⽉年] [end] [⼩时：分钟] [⽇⽉年]
例如：time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。

我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。

当然我们也可以定义⼯作⽇和周末，具体要使⽤periodic命令。

我们将在下⾯的配置实例中为⼤家详细介绍。

ØACL基本概念ØACL基本原理ØACL配置流程ØACL配置命令•随着网络的飞速发展，网络安全和网络服务质量的问题日益突出。

网络环境的安全性和网络服务质量的可靠性是网络性能评价的重要指标。

•通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的。

•本次任务介绍ACL的基本原理及基本ACL的配置。

ØACL（访问控制列表）是由一条或多条规则组成的集合。

ACL相当于一个过滤器，而规则相当于滤芯。

设备可以根据这些规则，抓取特定的报文，并对这些报文进行控制。

示例中，公司网络的财务管理系统只希望被财务部门的主机访问，可以通过定义ACL规则并部署在相关设备上来保证通信的安全。

ØACL组成ACL由一系列规则组成。

具体包括：•编号：ACL标识，不同类型ACL的编号有特定的取值范围；•规则：用于描述报文的匹配条件及处理动作。

包括一下要素：•规则编号：标识ACL规则，可以自行配置规则编号，也可以由系统自动分配；•处理动作：允许（Permit）/拒绝（Deny）；•匹配条件：定义报文的匹配项。

ACL组成示例ØACL部署应用ACL定义之后，必须在业务模块中应用才能生效。

ACL应用的业务模块包括：•对转发的报文进行过滤：基于全局和接口，对转发的报文进行过滤，从而使设备能够进一步对过滤出的报文进行丢弃、修改优先级、重定向等处理。

•对上送CPU处理的报文进行过滤：对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。

•登录控制：对设备的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。

•路由过滤：应用在各种动态路由协议中，对路由协议发布、接收的路由信息以及组播流量进行过滤。

最基本的ACL应用方式，是在简化流策略/流策略中应用ACL，使设备能够基于全局或接口下发ACL，实现对转发报文的过滤。

路由器使用技巧控制访问列表在如今数字化时代，互联网已经成为人们生活中不可或缺的一部分。

然而，随着互联网的普及和应用的广泛，保障网络安全变得尤为重要。

为了管理和控制网络的访问权限以及保护个人隐私，使用路由器成为了一种常见的解决方案。

本文将介绍一些路由器使用技巧，以帮助您更好地控制访问列表。

一、了解访问列表的基本概念访问列表（Access Control List，ACL）是一种管理网络流量的工具，通过规定允许或禁止某个特定IP地址或IP地址段进行网络访问。

在路由器上配置访问列表后，您可以控制设备对特定网站、应用或服务的访问权限，从而保护自己的网络安全和隐私。

二、设置访问控制策略1. 确定访问控制需求：首先，您需要明确自己的访问控制需求。

比如，您想要禁止某个特定IP地址的设备访问互联网，或者您只想允许特定IP地址范围的设备访问您的局域网。

明确需求后，可以更方便地配置访问控制列表。

2. 登录路由器管理界面：打开您的计算机浏览器，输入路由器的默认网关IP地址，并使用正确的用户名和密码登录路由器的管理界面。

3. 导航到访问控制设置：在管理界面中，找到“访问控制”或类似选项。

具体名称和位置可能因路由器品牌和型号而异，但通常会在安全设置或高级设置类别下。

4. 配置访问控制列表：根据您的需求，在访问控制设置页面中创建新的访问控制表项。

您可以设置允许或禁止特定的IP地址、IP地址段、端口号或MAC地址进行网络访问。

5. 保存并应用设置：在完成访问控制列表的配置后，记得点击保存或应用按钮，以使设置生效。

三、优化访问列表控制1. 定期更新访问列表：网络环境时刻在变化，新的威胁和安全漏洞也会不断出现。

因此，及时更新访问列表是保护网络安全的重要一环。

您可以根据实际需求，定期检查和修改访问控制列表，确保其与最新的网络威胁相适应。

2. 使用黑名单和白名单：黑名单和白名单是访问列表中常用的概念。

黑名单（Blacklist）是指禁止访问的清单，您可以将您不希望访问您网络的IP地址或特定应用添加到黑名单中。

cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

思科路由器--基于时间的访问列表控制我们知道，CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。

随着网络的发展和用户要求的变化，从IOS12.0开始，CISCO路由器新增加了一种基于时间的访问列表。

通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，当然也可以二者结合起来，控制对网络数据包的转发。

一、使用方法这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。

它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

并且，对于编号访问表和名称访问表都适用。

二、使用规则用time-range 命令来指定时间范围的名称，然后用absolute命令或者一个或多个per iodic命令来具体定义时间范围。

IOS命令格式为：我们分别来介绍下每个命令和参数的详细情况time-range ：用来定义时间范围的命令time-range-name：时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用absolute：该命令用来指定绝对时间范围。

它后面紧跟这start和end两个关键字。

在这两个关键字后面的时间要以24小时制、hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。

可以看到，他们两个可以都省略。

如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；若省略如果省略end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。

怎么样，看明白了吗？上面讲的就是命令和基本参数为了便于理解，我们看两个例子。

1、如果要表示每天的早8点到晚8点就可以用这样的语句：absolute start 8:00 end 20:002、再如，我们要使一个访问列表从2000年12月1日早5点开始起作用，直到2000年12月31日晚24点停止作用，语句如下：absolute start 5:00 1 December 2000 end 24:00 31 December 2000这样一来，我们就可以用这种基于时间的访问列表来实现，而不用半夜跑到办公室去删除那个访问列表了。

网络设备管理试题一及答案一、单项选择题（每小题2分，共40分）1.下列不属于OSI模型表示层功能的是（）。

A.数据加密与解密B数据压缩与解压缩C.数据转换、格式化D.同步节点对话2.下列不属于TCP/IP参考的网络层协议的是（）A.IP协议B.ICMPC.ARPD.DNS3.下列不属于网络操作系统的是（）。

A.LotusB.Windows Server 2008C.Linuxware4.下列关于串行接口的表述不正确的是（）。

A.串行通信在一条线路上逐个传送所有比特B.串行传输方式给发送设备和接收设备增加了额外的复杂性，因为发送方必须明确数据发送的顺序C.如果串行通信的双方在比特的顺序上无法取得一致，则数据的传输将出现错误D.由于串行通信的收、发双方只需要有一条传输信道，比较便宜又易于实现，所以适合近距离传输使用5.（）又叫加速图形处理端口，是计算机主板上的一种高速点对点传输通道，供显卡使用，主要应用在三维计算机图形的加速上。

A.AGPB.PCIC.PCI-EB6.下列不属于导向性传输介质的是（）A.双绞线B.同轴电缆C.光纤D.红外线7.下列关于Modem的功能描述错误的是（）A.差错控制B.数据压缩C.流量控制D.端口扩充8.（）是路由器的数据包转发能力。

A. 吞吐量B.QOSC. 背板带宽D.服务效率9. 下列关于共享打印机与网络打印机的描述不正确的是（）A.共享打印机是用户通过共享设置来实现一台本地打印机在局域网上的共享B. 共享打印机并不是独立的，它必须借助一台连接的计算机来实现打印共享过程C.网络打印机可以看作是一台专门的“打印服务器”D. 当局域网规模很大，打印任务众多时，如果仍然采用网络打印机，将大大降低打印速度10.（）用于存储交换机的配置文件A.NVRAMB.FLASHC.DRAMD.ROM11. 在交换机的“Privileged Exec”模式中输入（）命令可以进入交换机的VLAN数据库模式。

信息安全与防火墙配置考试（答案见尾页）一、选择题1. 信息安全中的“三分技术，七分管理”主要强调的是什么？A. 技术的重要性B. 管理的重要性C. 人员培训的重要性D. 安全策略的重要性2. 在防火墙配置中，以下哪个不是访问控制列表（ACL）的作用？A. 控制进出网络的流量B. 提供虚拟私人网络（VPN）功能C. 防止未授权的访问D. 保护内部网络3. 防火墙的主要功能包括哪些？A. 数据包过滤B. 应用代理C. 状态检测D. 入侵检测和防御4. 在防火墙配置中，以下哪项不是典型的高端防火墙具备的功能？A. 虚拟专用网（VPN）支持B. 高性能接口C. 多线程处理能力D. 大容量内存5. 防火墙的默认策略通常是拒绝所有流量，这意味着什么？A. 所有流量都会被阻止B. 必须明确允许某些流量C. 需要配置特定的规则来放行流量D. 防火墙处于关闭状态6. 在防火墙配置中，以下哪种策略是最佳的防火墙部署策略？A. 除非明确禁止，否则允许所有流量B. 仅允许必要的端口和服务C. 严格限制内部网络访问D. 定期更新和维护防火墙规则7. 防火墙的日志功能主要用于：A. 监控和分析网络流量B. 启用入侵检测系统（IDS）C. 记录用户活动D. 提供审计功能8. 在防火墙配置中，以下哪种认证方式不常用于商业环境？A. RADIUSB. DHCPC. PAPD. CHAP9. 防火墙的透明模式是指防火墙在运行时，不需要添加任何路由或NAT设置，对网络流量进行透明传输。

这种模式下，防火墙不会修改或转发数据包的内容。

以下哪种情况适合使用透明模式？A. 在不同安全级别的网络之间B. 在公共网络上C. 在内部网络和外部网络之间D. 在需要保留网络拓扑结构的情况下10. 在防火墙配置中，为了提高安全性，通常会禁用不必要的服务和端口。

以下哪种服务通常被认为是不必要的服务？A. HTTP（端口80）B. SSH（端口22）C. DNS（端口53）D. NTP（端口123）11. 信息安全的基本概念是什么？A. 保护信息不被未经授权的访问、使用、泄露、破坏、修改或丢失B. 确保信息的机密性、完整性和可用性C. 防止未经授权的用户访问计算机系统D. 保护网络中的数据包不被窃取或篡改12. 防火墙的主要功能是什么？A. 控制对内部网络的访问B. 提供加密通信C. 防止未经授权的访问和数据泄露D. 监控和控制网络流量13. 在防火墙中，哪一个元素用于根据预定义的安全策略允许或拒绝数据流？A. 包过滤规则B. 应用代理C. 状态检查D. 访问控制列表（ACL）14. 什么是最小特权原则，它在防火墙配置中的意义是什么？A. 用户只能访问必要的信息和资源B. 用户只能执行特定的任务C. 用户只能访问授权的网络区域D. 用户只能使用经过认证的软件15. 防火墙的三种基本策略是什么？A. 允许所有流量通过B. 拒绝所有流量通过C. 基于时间的访问控制D. 基于用户的访问控制16. 在防火墙中，哪种技术用于隐藏内部网络的详细信息，只允许必要的通信通过？A. 包过滤B. 应用代理C. 状态检查D. 访问控制列表（ACL）17. 什么是网络地址转换（NAT），它在防火墙中的作用是什么？A. 将私有IP地址转换为公共IP地址，以便在互联网上通信B. 隐藏内部网络的IP地址，防止外部攻击者访问内部网络C. 提供额外的安全层，防止数据泄露D. 将多个设备连接到一个网络中18. 在防火墙中，状态检查（也称为状态包检查）是如何工作的？A. 检查通过防火墙的数据包的源和目标IP地址是否匹配预设的规则B. 检查通过防火墙的数据包的源和目标端口是否匹配预设的端口号C. 跟踪通过防火墙的数据包的历史连接状态，以确定是否允许该数据流通过D. 检查数据包的加密和解密情况19. 什么是深度包检测（DPI），它在防火墙中的作用是什么？A. 检查通过防火墙的数据包的内容，以识别和阻止恶意软件B. 检查通过防火墙的数据包的源和目标IP地址是否匹配预设的规则C. 检查通过防火墙的数据包的源和目标端口是否匹配预设的端口号D. 将多个设备连接到一个网络中20. 在防火墙中，访问控制列表（ACL）是一种什么类型的规则？A. 包过滤规则B. 应用代理规则C. 状态检查规则D. 用户身份验证规则21. 信息安全的基本概念是什么？A. 保护信息不被未经授权的访问、使用、修改、泄露、破坏、中断、修改或破坏B. 确保信息的机密性、完整性和可用性C. 防止未经授权的访问和数据泄露D. 保护网络系统的硬件和软件资源22. 防火墙的主要功能是什么？A. 控制访问和数据流B. 提供加密通信C. 防止病毒和恶意软件的入侵D. 监控和分析网络流量23. 在防火墙中，什么是默认拒绝策略？A. 不允许任何流量通过B. 允许所有流量通过C. 根据规则来允许或拒绝流量D. 以上都不是24. 什么是最小权限原则？A. 只授予完成任务所必需的权限B. 只授予用户所需的权限C. 不允许用户更改系统设置D. 限制用户对特定资源的访问25. 防火墙的配置通常分为哪几个部分？A. 网络层过滤B. 应用层过滤C. 传输层过滤D. 所有以上选项26. 什么是DMZ（非军事区）？A. 用于隔离内部网络和外部网络的一种技术B. 一个网络安全架构中的特殊区域，用于提供额外的安全层C. 一个网络设备，用于连接内部网络和外部网络D. 以上都不是27. 在防火墙中，什么是状态检查？A. 检查通过防火墙的数据包是否为合法的B. 检查通过防火墙的数据包是否为已知的C. 检查通过防火墙的数据包是否为完整的D. 检查通过防火墙的数据包是否为经过身份验证的28. 什么是入侵检测系统（IDS）？A. 一种安全系统，用于监控网络中的异常行为B. 一种安全系统，用于检测和防止网络攻击C. 一种安全系统，用于记录网络中的所有活动D. 以上都不是29. 在防火墙中，什么是代理服务器？A. 一个网络设备，用于转发和处理网络请求B. 一个安全系统，用于监控和控制网络流量C. 一个网络设备，用于隐藏内部网络的详细信息D. 以上都不是30. 什么是防火墙的“端口转发”功能？A. 允许外部网络设备直接访问内部网络的特定端口B. 允许内部网络设备直接访问外部网络的特定端口C. 一种安全特性，用于限制网络访问D. 以上都不是31. 信息安全的基本概念是什么？A. 保护信息不被未经授权的访问、使用、修改、泄露、破坏、中断、修改或破坏B. 确保信息的机密性、完整性和可用性C. 防止未经授权的用户访问计算机系统D. 保护网络中的数据不被窃取或篡改32. 下列哪个因素可能导致信息安全事件？A. 操作系统的漏洞B. 不安全的密码策略C. 缺乏安全意识和培训D. A和B33. 防火墙的主要功能是什么？A. 控制访问权限B. 提供加密通信C. 防止未经授权的访问D. 监控和分析网络流量34. 在防火墙上，哪项配置可以限制特定端口的访问？A. 端口过滤B. 包过滤C. 应用代理D. 状态检测35. 什么是DMZ（非军事区）？A. 一个隔离的网络区域，用于提供额外的安全层B. 一个包含所有用户的网络区域C. 一个不安全的区域D. 一个用于存放重要数据的区域36. 防火墙的三种基本管理策略是什么？A. 授权、检查和审计B. 允许、拒绝和报告C. 服务、端口和协议D. IP地址、端口和通信方向37. 在防火墙中，哪项技术用于确保通过防火墙的数据包的完整性和机密性？A. 数字签名B. 加密C. 身份验证D. 安全策略38. 什么是入侵检测系统（IDS）？A. 一个用于监控网络流量的设备，用于检测非法活动B. 一个用于监控网络流量的设备，用于检测和防止网络攻击C. 一个用于监控网络流量的设备，用于检测和记录网络流量D. 一个用于监控网络流量的设备，用于检测和阻止网络攻击39. 在防火墙中，哪项配置可以用来阻止所有未授权的访问？A. 关闭所有端口B. 使用默认拒绝策略C. 配置访问控制列表（ACL）D. 使用代理服务器40. 什么是网络地址转换（NAT）？A. 一种将私有IP地址转换为公共IP地址的技术B. 一种将公共IP地址转换为私有IP地址的技术C. 一种用于隐藏内部网络结构的技术D. 一种用于提高网络性能的技术二、问答题1. 什么是防火墙？它在信息安全中的作用是什么？2. 常见的防火墙技术有哪些？3. 包过滤防火墙是如何工作的？4. 状态检测防火墙是如何工作的？5. 应用代理防火墙是如何工作的？6. 入侵防御系统（IDS）和入侵防御系统（IPS）有什么区别？7. 如何配置防火墙以保护内部网络？8. 如何解决防火墙配置过程中的常见问题？参考答案选择题：1. B2. B3. A4. C5. B6. D7. A8. C9. D 10. A11. A 12. C 13. A 14. A 15. ABC 16. B 17. AB 18. C 19. A 20. A21. A 22. A 23. A 24. A 25. D 26. B 27. A 28. A 29. A 30. A31. A 32. D 33. C 34. A 35. A 36. B 37. B 38. A 39. B 40. A问答题：1. 什么是防火墙？它在信息安全中的作用是什么？防火墙是一种网络安全系统，用于监控和控制进出网络的数据流。

基于时间的访问控制列表【实验名称】基于时间的访问控制列表【实验目的】掌握基于时间段进行控制的IP访问列表配置。

【背景描述】某公司经理最近发现，有些员工在上班时间经常上网浏览与工作无关的网站，影响了工作，因此他通知网络管理员，在网络上进行设置，在上班时间只允许浏览与工作相关的几个网站，禁止访问其它网站。

本实验以1台S2126G交换机和1台R2624路由器为例。

PC机的IP地址和缺省网关分别为172.16.1.1/24和172.16.1.2/24 ，服务器(Server)的IP地址和缺省网关分别为160.16.1.1/24和160.16.1.2/24 ，路由器的接口F0和F1的IP地址分别为 172.16.1.2/24和160.16.1.2/24 。

【实现功能】基于时间对网络访问进行控制，提高网络的使用效率和安全性。

【实验拓扑】【实验设备】S2126G（1台）、R2624(1台)【实验步骤】步骤一在路由器上定义基于时间的访问控制列表Router(config)#access-list 100 permit ip any host 160.16.1.1//定义扩展访问列表，允许访问主机160.16.1.1Router(config)#access-list 100 permit ip any any time-range t1 //关联time-range接口t1，允许在规定时间段访问任何网络Router(config)#time-range t1 //定义time-range接口t1 ，即定义时间段Router(config- time-range)#absolute start 8:00 1 oct2004 end 18:00 30 dec 2020 //定义绝对时间 Router(config- time-range)#periodic daily 0:00 to 8:00//定义周期性时间段（非上班时间）Router(config- time-range)#periodic daily 17:00 to 23:59 //配置时间验证测试：验证访问列表和time-range接口配置Router# show access-lists //显示所有访问列表配置Extended IP access list 100permit ip any host 160.16.1.1permit ip any anyRouter#show time-range //显示time-range接口配置time-range entry:t1absolute start 08:00 1 October 2004 end 18:00 30December 2020periodic daily 00:00 to 08:00periodic daily 17:00 to 23:59步骤二在接口上应用访问列表Router(config)# interface fastethernet 1 //进入接口F1配置模式Router(config-if)# ip access-group 100 out//在接口F1的出方向上应用访问列表100验证测试：验证接口上应用的访问列表Router#show ip interface fastEthernet 1/0 //查看端口信息FastEthernet1 is up, line protocol is upInternet address is 160.16.1.2/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledOutgoing access list is 100//显示在出口上应用了访问列表100Inbound access list is not setProxy ARP is enabledSecurity level is defaultSplit horizon is enabledICMP redirects are always sentICMP unreachables are always sentICMP mask replies are never sentIP fast switching is enabledIP fast switching on the same interface is disabled IP multicast fast switching is enabledRouter Discovery is disabledIP output packet accounting is disabledIP access violation accounting is disabledTCP/IP header compression is disabledPolicy routing is disabled步骤三测试访问列表的效果C:\>ping 160.16.1.1 //验证在工作时间可以访问服务器160.16.1.1现在改变服务器的IP地址为160.16.1.5（或用另一台服务器），再进行测试：C:\>ping 160.16.1.5 //验证在工作时间不能访问服务器160.16.1.5以上结果显示目的不可访问现在改变路由器的时钟到非工作时间22:00，再进行测试：C:\>ping 160.16.1.5 //验证在非工作时间可以访问服务器160.16.1.5【注意事项】在定义时间接口前须先校正系统时钟；Time-range接口上允许配置多条periodic规则（周期时间段），在ACL进行匹配时，只要能匹配任一条periodic规则即认为匹配成功，而不是要求必须同时匹配多条periodic规则；设置periodic规则时可以按以下日期段进行设置：day-of-the-week（星期几）、Weekdays（工作日）、Weekdays（周末，即周六和周日）、Daily（每天）；Time-range接口上只允许配置一条absolute规则（绝对时间段）；Time-range允许absolute规则与periodic规则共存，此时，ACL必须首先匹配absolute规则，然后再匹配periodic规则。