基于时间的ACL配置实验

ACL实验配置的实验报告ACL实验配置的实验报告一、引言网络安全是当今互联网时代的重要议题之一。

为了保护网络资源的安全性，许多组织和个人采取了访问控制列表（Access Control List，简称ACL）的配置方法。

本文将介绍ACL实验配置的实验报告，探讨ACL在网络安全中的应用和效果。

二、实验目的本次实验旨在通过配置ACL来控制网络流量，实现对特定IP地址或端口的访问控制。

通过实验，我们将了解ACL的基本原理和配置方法，并评估ACL在网络安全中的实际效果。

三、实验环境本次实验使用了一台具备路由器功能的设备，该设备支持ACL功能。

我们将在该设备上进行ACL配置和测试。

四、实验步骤1. 配置ACL规则我们首先登录到设备的管理界面，进入ACL配置页面。

根据实验要求，我们配置了两条ACL规则：- 允许特定IP地址的访问：我们设置了一条允许来自IP地址为192.168.1.100的主机访问的规则。

- 阻止特定端口的访问：我们设置了一条阻止访问端口号为80的规则，以模拟对HTTP协议的限制。

2. 应用ACL规则配置完ACL规则后，我们将其应用到设备的出口接口上。

这样，所有经过该接口的流量都将受到ACL规则的限制。

3. 测试ACL效果为了验证ACL的效果，我们进行了以下测试：- 尝试从IP地址为192.168.1.100的主机访问设备，结果显示访问成功，符合我们的预期。

- 尝试从其他IP地址访问设备，结果显示访问被拒绝，ACL规则起到了限制作用。

- 尝试访问设备的80端口，结果显示访问被拒绝，ACL规则成功限制了对HTTP协议的访问。

五、实验结果与分析通过实验，我们成功配置了ACL规则，并验证了ACL在网络安全中的实际效果。

ACL能够限制特定IP地址或端口的访问，从而提高网络资源的安全性。

通过合理配置ACL规则，可以防止未经授权的访问和攻击，保护网络的机密性和完整性。

六、实验总结ACL在网络安全中起到了重要的作用。

Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表：
上⾯我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。

不过实际⼯作中总会有⼈提出这样或那样的苛刻要求，这时我们还需要掌握⼀些关于ACL的⾼级技巧。

基于时间的访问控制列表就属于⾼级技巧之⼀。

⼀、基于时间的访问控制列表⽤途：
可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某⽹站只有到了周末可以。

对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的，这时基于时间的访问控制列表应运⽽⽣。

⼆、基于时间的访问控制列表的格式：
基于时间的访问控制列表由两部分组成，第⼀部分是定义时间段，第⼆部分是⽤扩展访问控制列表定义规则。

这⾥我们主要讲解下定义时间段，具体格式如下：
time-range时间段名称
absolute start [⼩时：分钟] [⽇⽉年] [end] [⼩时：分钟] [⽇⽉年]
例如：time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。

我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。

当然我们也可以定义⼯作⽇和周末，具体要使⽤periodic命令。

我们将在下⾯的配置实例中为⼤家详细介绍。

【网络拓扑结构图】【实验步骤】步骤1.（1）按照上图构建网络拓扑结构图（2）配置Router模块（3）配置各PC机的网络接口，右键点击PC1图标，选中“配置”→“NIO UDP”，进行如下图设置后，点击“添加”后再点击“OK”。

同理对serverA和serverB服务器进行配置，但各PC机和服务器间的本地端口号和远程端口号分别连续加1，使得各不相同。

同理对PC2进行配置。

（注意：各PC机间的本地端口和远程端口号应不同）（4）按照网络拓扑图完成设备连接步骤2 .标注端口及配置信息：步骤3. 配置路由器端口的ip和子网掩码；Router>enRouter#conf tRouter(config)#int f1/0Router(config-if)#ip add 1.1.1.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int f2/0Router(config-if)#ip add 2.2.2.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int f3/0Router(config-if)#ip add 3.3.3.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#end步骤4.查看当前路由器的时间并校正路由器实时时钟；Router#show clockRouter#clock set 20:34:00 12 nov 2012Router#sh clock步骤5. 创建并定义Time-range接口Router>enRouter#conf tRouter(config)#time-range time1Router(config-time-range)#absolute start 8:00 1 jan 2006 end 17:00 30 dec 2012 Router(config-time-range)#periodic daily 8:00 to 17:00Router(config-time-range)#endRouter#sh time-range步骤6. 定义基于时间的ACLRouter#conf tRouter(config)#ip access-list extend net_list1Router(config-ext-nacl)#deny ip any host 3.3.3.2 time-range time1 Router(config-ext-nacl)#permit ip any anyRouter(config-ext-nacl)#endRouter#sh access-list步骤7. 将访问列表规则应用在网络接口上Router#conf tRouter(config)#int f1/0Router(config-if)#ip access-group net_list1 inRouter(config-if)#endRouter#sh ip int f1/0步骤8. 通过VPCS虚拟机，为PC机和服务器配置IP地址步骤9（1）更改路由器的当前时间为上班时间Router>enRouter#clock set 9:00:00 2 jan 2010Router#sh clock（2）检查PC与内网服务器间的通信由于设置的ACL中允许在任何时间访问内网，所以当内网主机访问内网时，通信正常。

time-range：用来定义时间范围;time-range-name：时间范围名称，用来标识时间范围，以便在后面的访问列表中引用;absolute：该命令用来指定绝对时间范围。

它后面紧跟start和end两个关键字。

在两个关键字后面的时间要以24小时制和“hh: mm（小时：分钟）”表示，日期要按照“日/月/年”形式表示。

这两个关键字也可以都省略。

如果省略start及其后面的时间，表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止; 若省略end及其后面的时间，表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用(当然如把访问列表删除了的话就不会起作用了）。

为了便于理解，下面看两个例子。

如果要表示每天早8点到晚6点开始起作用，可以用这样的语句：absolute start 8∶00 end 18∶00再如，我们要使一个访问列表从2003年1月1日早8点开始起作用，直到2003年1月10日晚23点停止作用，命令如下：absolute start 8∶00 1 January 2003 end 23∶00 10 January 2003这样我们就可以用这种基于时间的访问列表来实现，而不用半夜跑到办公室去删除那个访问列表了。

接下来，介绍一下periodic命令及其参数。

一个时间范围只能有一个absolute语句，但是可以有几个periodic语句。

periodic：主要以星期为参数来定义时间范围。

它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily（每天）、weekday（周一到周五）或者weekend（周末）。

我们还是来看几个具体的例子。

比如表示每周一到周五的早9点到晚10点半，命令如下：periodic weekday 9∶00 to 22∶30每周一早7点到周二的晚8点可以这样表示：periodic Monday to Tuesday 20∶00在把时间范围定义清楚后，我们来看看如何在实际情况下应用这种基于时间的访问列表。

S21交换机基于时间的ACL处理方法锐捷网络远程技术支持中心技术热线：4008-111-000福建星网锐捷网络有限公司基于时间的ACLs应用例:在每周工作时间段内禁止HTTP的数据流步骤如下:Switch# configure terminal!进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# time-range no-http!进入一个time-range名为no-http的配置模块2006-03-16 15:18:40 @5-CONFIG:Configured from outbandSwitch(config-time-range)# periodic weekdays 8:00 to 18:00!设置周期时间.这里指每周的星期一到星期五2006-03-16 15:18:59 @5-CONFIG:Configured from outbandSwitch(config-time-range)# exit!退回到上一级.即全局配置模式2006-03-16 15:19:55 @5-CONFIG:Configured from outbandSwitch(config)# ip access-list extended limit_udp!设置一个ACL名,并且进入这个ACL配置模块2006-03-16 15:21:52 @5-CONFIG:Configured from outbandSwitch(config-ext-nacl)# deny tcp any any eq www time-range no-http !在no-http这个周期时间内禁止所有的HTTP的数据流2006-03-16 15:23:22 @5-CONFIG:Configured from outbandSwitch(config)# interface fastEthernet 0/2!进入需要应用此ACL的接口2006-03-16 15:40:52 @5-CONFIG:Configured from outbandSwitch(config-if)# ip access-group limit_udp in!应用limit_udp限制2006-03-16 15:41:05 @5-CONFIG:Configured from outbandSwitch# show time-range!显示time-rangtime-range name: no-httpperiodic Weekdays 8:00 to 18:00Switch# show running-config!显示当前配置System software version : 1.63 Build Jan 6 2006 RelBuilding configuration...Current configuration : 669 bytes福建星网锐捷网络有限公司!version 1.0!no enable services web-serverhostname Switchvlan 1!ip access-list extended limit_udpdeny tcp any any eq www time-range no-http!enable secret level 1 5 &t>H.Y*TquC,tZ[VrvD+S(\Ws=G1X)svenable secret level 15 5 &ttj9=G1qu7R:>H.rvu_;C,ts8U0<D+S!interface fastEthernet 0/2ip access-group limit_udp in!interface vlan 1no shutdownip address 192.168.26.38 255.255.255.0!ip default-gateway 192.168.26.10snmp-server community public rotime-range no-httpperiodic Weekdays 8:00 to 18:00!end例：> 一、网络环境> 1、172.24.9.*是机房所有学生机；其他地址是校内地址；> 2、机房接入端交换机级联在2126G上，2126G通过光缆接入校园网；> 二、意图> 1、在time-range 101所定义的时间段内，拒绝所有源地址为172.24.9.*机器访问除上述校内地址列表以外的所有目的地址；> 2、在time-range 101所定义的时间段外，允许所有源地址为172.24.9.*机器访问任何地址；show runip access-list extended 101permit ip 172.24.9.0 0.0.0.255 172.24.9.0 0.0.0.255 time-range 101福建星网锐捷网络有限公司福 建 星 网 锐 捷 网 络 有 限 公 司permit ip 172.24.9.0 0.0.0.255 host 211.65.62.126 time-range 101 permit ip 172.24.9.0 0.0.0.255 host 202.119.24.12 time-range 101 permit ip 172.24.9.0 0.0.0.255 host 202.119.2.193 time-range 101 permit ip 172.24.9.0 0.0.0.255 host 172.16.0.30 time-range 101 permit ip 172.24.9.0 0.0.0.255 host 211.65.63.68 time-range 101 permit ip 172.24.9.0 0.0.0.255 host 211.65.63.110 time-range 101 permit ip 172.24.9.0 0.0.0.255 host 211.65.42.2 time-range 101 deny ip 172.24.9.0 0.0.0.255 any time-range 101!time-range 101periodic Monday 15:20 to 22:00periodic Tuesday 15:20 to 22:00periodic Wednesday 8:20 to 10:10periodic Thursday 8:20 to 10:10periodic Thursday 13:30 to 17:10periodic Friday 8:20 to 17:10!endSwitch#福 建 星 网 锐 捷 网 络 有 限 公 司。

时间ACL【实验目的】通过本实验可以掌握：(1)定义time-range(2)配置基于时间的ACL(3)基于时间ACL调试。

【拓扑结构】【实验要求】本实验要求只允许PC3主机在周一到周五的每天的8：00—18：00访问路由器R2的Telnet 服务。

【实验步骤】（1）删除R2之前的ACL配置R2(config)#no ip access-list extended extR2(config)#int s2/0R2(config-if)#no ip acceR2(config-if)#no ip access-group ext inR2(config-if)#int s3/0R2(config-if)#no ip access-group ext inR2(config-if)#int f0/0R2(config-if)#no ip access-group ext inR2(config-if)#int l0R2(config-if)#no ip access-group ext inR2(config-if)#（2）定义time-rangR2(config)#time-range pc3-R2R2(config-time-range)#periodic weekdays 8:00 to 18:00R2(config-time-range)#exi（3）定义ACLR2(config)# access-list 100 permit tcp host 172.16.3.1 host 192.168.12.2 eq 23 timR2(config)# access-list 100 permit tcp host 172.16.3.1 host 192.168.12.2 eq 23 time-range pc3-R2 R2(config)# access-list 100 permit tcp host 172.16.3.1 host 192.168.23.2 eq 23 time-range pc3-R2 R2(config)# access-list 100 permit tcp host 172.16.3.1 host 2.2.2.2 eq 23 time-range pc3-R2R2(config)# access-list 100 permit tcp host 172.16.3.1 host 172.16.2.2 eq 23 time-range pc3-R2 R2(config)#access-list 100 deny tcp any host 192.168.12.2 eq 23R2(config)#access-list 100 deny tcp any host 192.168.23.2 eq 23R2(config)#access-list 100 deny tcp any host 2.2.2.2 eq 23R2(config)#access-list 100 deny tcp any host 172.16.2.2 eq 23R2(config)#access-list 100 permit eigrp any anyR2(config)#access-list 100 permit icmp any anyR2(config)#access-list 100 permit ip any any（4）在接口调用ACLR2(config)#int s0/0R2(config-if)#ip access-group 100 inR2(config-if)#int s0/1R2(config-if)#ip access-group 100 inR2(config-if)#int e1/0R2(config-if)#ip access-group 100 inR2(config-if)#int l0R2(config-if)#ip access-group 100 inR2(config-if)#（5）修改R2系统时间R2#clock set 9:00:00 29 dec 2011R2#show clock09:00:06.815 UTC Thu Dec 29 2011。

实验七 NAT和ACL配置实验1：标准ACL1.实验目的通过本实验可以掌握：（1）ACL 设计原则和工作过程（2）定义标准ACL（3）应用ACL（4）标准ACL 调试2.拓扑结构本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。

整个网络配置RIP 保证IP 的连通性。

3.实验步骤（1）步骤1：配置路由器R1R1(config)#router ripR1(config-router)#network 10.1.1.0R1(config-router)#network 172.16.1.0R1(config-router)#network 192.168.12.0（2）步骤2：配置路由器R2R2(config)#router ripR2(config-router)#network 2.2.2.0R2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.23.0R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义ACLR2(config)#access-list 1 permit anyR2(config)#interface Serial0/0/0R2(config-if)#ip access-group 1 in //在接口下应用ACLR2(config)#access-list 2 permit 172.16.3.1R2(config-if)#line vty 0 4R2(config-line)#access-class 2 in //在vty 下应用ACLR2(config-line)#password ciscoR2(config-line)#login（3）步骤3：配置路由器R3R3(config)#router eigrp 1R3(config-router)#network 172.16.3.0R3(config-router)#network 192.168.23.0【技术要点】（1）ACL 定义好，可以在很多地方应用，接口上应用只是其中之一，其它的常用应用来控制telnet 的访问；（2）访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序；（3）路由器不对自身产生的IP 数据包进行过滤；（4）访问控制列表最后一条是隐含的拒绝所有；（5）每一个路由器接口的每一个方向，每一种协议只能创建一个ACL；（6）“access-class”命令只对标准ACL 有效。

基于时间的ACL的配置【实验目的】掌握时间范围的建立掌握基于时间的访问控制列表ACL命令的使用掌握以命名为基础的访问控制列表的建立掌握将基于命名的访问控制列表关联到端口的命令的使用【实验设备】路由器二台（模拟器中选择Generic路由器，有串行口）PC机二台交换机一台交叉线一条DTE或DCE连线二条配置线二条直通线三条【实验拓扑】【实验要求】某软件公司的服务器，公司规定只能在正常工作时间登录（周一到周五8：00~17：00），其他时间拒绝登录，以确保公司的数据安全【实验步骤】一．按照图示连接设备：路由器和路由器之间用DTE或DCE线连接，交换机与电脑、路由器之间用直通线，路由器与服务器之间用交叉线连接二．设置路由器的端口的IP地址及时钟频率1．路由器RA的配置：Router>enable （进入特权模式）Router#configure terminal （进入全局模式）Router(config)#hostname RA （给路由器命名为RA）RA (config)#interface serial 2/0 （进入2号串口）RA (config-if)#ip address 10.10.2.1 255.255.255.0 （设置2号串口IP地址）RA (config-if)#clock rate 128000 （设置时钟频率）RA (config-if)#no shutdown （激活端口）RA (config-if)#exit （退回上一级）RA (config)#interface fastethernet 0/0 （进入0号接口）RA (config-if)#ip address 10.10.1.1 255.255.255.0 （设置0号口IP地址）RA (config-if)#no shutdown （激活端口）RA (config-if)#exit （退回上一级）2．路由器RB的配置：Router>enable （进入特权模式）Router#configure terminal （进入全局模式）Router (config)#hostname RB （给路由器命名为RB）RB (config)#interface serial 2/0 （进入2号串口）RB (config-if)#ip address 10.10.2.2 255.255.255.0 （设置2号串口IP地址）RB (config-if)#no shutdown （激活端口）RB (config-if)#exit （退回上一级）三．启动rip协议，通告相邻网络号：1．路由器RA的配置：RA(config)#router rip （启动rip协议）RA(config)#version 2 （使用ripV2协议）RA(config-router)#network 10.10.1.0 （通告10.10.1.0连到本路由器上）RA(config-router)#end （返回特权模式）2．路由器RB的配置：RB(config)#route rip （启动rip协议）RB(config)#version 2 （使用ripV2协议）RB(config-router)#network 10.10.3.0 （通告10.10.2.0连到本路由器上）RB(config-router)#end （返回特权模式）四．设置PC1 、PC2和服务器的IP地址及网关地址：PC1：10.10.1.10(IP) 255.255.255.0 (掩码) 10.10.1.1（网关）PC2：10.10.1.11(IP）255.255.255.0 (掩码) 10.10.1.1（网关）服务器：10.10.3.10(IP) 255.255.255.0(掩码) 10.10.3.1（网关）五．查看每台路由器的路由信息并测试连通性：分别在每台路由器上输入下列命令：1．RA#show ip route （查看路由表信息）*此时RA路由表有2条C路由信息，1条R路由，RB上有2条C路由信息，1条R路由信息2．分别在PC1上和PC2上测试是否跟服务器相互连通：PC1：ping 10.10.3.10PC2：ping 10.10.3.10*结果应该是所有的都连通3．分别在PC1和PC2上测试登录服务器的Web网页，看是否能登录上*结果应该是两个都能登录六．在RA上设置访问控制列表：RA(config)#time-range time1 （创建时间范围）RA(config-time-range)#periodic weekend 0:00 to 23:59 （限定时间为每周一到周五）RA(config-time-range)#exit （退回上一级）RA(config)#ip access-list extended lo-time （以命名方式定义访问控制列表）RA(config-ext-nacl)#deny tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range time1（设置允许10.10.1.0网段在time1规定的时间范围内登录服务器）RA(config-ext-nacl)#permit ip any any （允许在其他时间的任何访问）RA(config-ext-nacl)#exit （退回上一级）RA(config)#interface f0/0 （进入0号接口）RA(config-if)#ip access-group lo-time in（设定访问控制列表lo-time应用在RA的f0/0入口上）RA(config-if)#exit （退回上一级）七．结果测试：（1）设置路由器的时间跟系统当前工作时间一致：RA#clock set 9:12:00 january 28 2014（时间为2014年2月28日上午9点12分，星期五，属于工作时间）分别在PC1上和PC2上测试是否跟服务器相互连通：PC1：ping 10.10.3.10PC2：ping 10.10.3.10*结果应该是都能通（2）设置路由器的时间跟系统当前工作时间一致：RA#clock set 9:12:00 March 1 2014（时间为2014年3月1日上午9点12分，星期六，属于非工作时间）分别在PC1上和PC2上测试是否跟服务器相互连通：PC1：ping 10.10.3.10PC2：ping 10.10.3.10*结果应该是都不能通附：基于时间的访问控制列表的格式：1．RA(config)#time-range 时间范围名定义一个时间范围，名字区分大小写，且不能以数字打头2．RA(config-time-range)#absolute|periodic 时间（1）absolute 严格规定时间格式，每个时间范围内只能有一条严格时间，例： RA(config-time-range)#absolute start 08:00 1 May 2010 end 08:00 1 Dec 2010 从2010年5月1号早上八点至12月8点这段时间（2）periodic 设置周期时间，可设置多条，例：RA(config-time-range)#periodic daily 08:00 to 17:00每天早上8点至下午5点RA(config-time-range)#periodic Monday 08:00 to 17:00每周一早上8点至下午5点RA(config-time-range)#periodic weekdays 08:00 to 17:00周一至周五早上8点至下午5点，这句等同于下面这句RA(config-time-range)#periodic Monday Friday 08:00 to 17:00跟上面一句意义一样同理weekends= saturday and Sunday3．定义一个访问控制列表（是标准的、扩展的、以命名为基础的都可以，后面必须加上规定的时间范围）(1)access-list 1 permit any time-range 时间范围(2)access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range 时间范围(3)ip access-list extended 访问控制列表名permit tcp 10.10.1.0 0.0.0.255 host 10.10.3.10 time-range 时间范围4．RA(config)#interface f0/0RA(config-if)ip access-group 列表名|号in|out应用列表到某接口的入口或出口上。

项目8.4-基于时间ACL配置项目八局域网安全与管理模块8.4 基于时间ACL配置模块8.4 基于时间ACL配置内容简介描述基于时间的ACL相关知识和技能训练，重点是绝对时间及相对时间定义及应用配置等。

23知识目标、技能点了解基于时间ACL的定义及应用；掌握基于时间ACL配置技能。

模块8.4 基于时间ACL配置48.4.1 问题提出前面学习过任何ACL，无论是标准ACL还是扩展ACL，都与时间没有关系，也就是这些ACL规则一旦应用到某个端口上，就始终发挥作用。

但ACL在实际应用过程中，有时却要求ACL与时间有关。

这就需要ACL引入时间变量，也就是基于时间的ACL。

模块8.4 基于时间ACL配置8.4.2 相关知识1．基于时间的ACL概述基于时间的ACL是在前面定义的ACL基础上，增加一个表示使得ACL生效的特定时间范围变量。

带有时间范围变量的ACL就只有在时间范围变量规定的时间内生效。

5模块8.4 基于时间ACL配置6模块8.4 基于时间ACL配置时间变量有两种类型：绝对时间和相对时间。

绝对时间：从××年××月××日××时××分××秒起，到××年××月××日××时××分××秒止。

如从2001年6月13日0:00到2015年1月20日24:00，是指一个具体的时间范围。

相对时间：一周中哪一（几）天。

每周的这一（几）天都生效。

如周一8:00-16:00等，是指一个有循环规律的时间范围。

7 一个时间范围变量可以只有绝对时间或相对时间，也可以既有绝对时间又有相对时间。

如果是既有绝对时间又有相对时间的情况下，时间范围是指在绝对时间定义范围的相对时间内ACL生效。

如在2001年6月13日0:00到2015年1月20日24:00内的每周一8:00至16:00等。

基于时间策略的ACL访问控制列表限速第一章设置时间策略time-range A8:30 to 12:00 daily \\设置时间策略C，时间范围08：30至12:00,每天设置时间策略，命名为随意，参数daily=每天详细解析[M65-HN-SW01]time-range A 8:00 to 9:00 ?<0-6> Day of the week(0 is Sunday)Fri Friday星期五Mon Monday星期一Sat Saturday星期六Sun Sunday星期日Thu Thursday星期四Tue Tuesday星期二Wed Wednesday星期三daily Every day of the week每一天off-day Saturday and Sunday休息日即星期六和星期日working-day Monday to Friday工作日即星期一至星期五第二章ACL设置访问策略并关联时间策略acl number 3500rule 5 permit ip time-range A设置ACL 编号3500，明细内容为允许所有数据包通过，时间策略引用time-range A 第三章定义流类别traffic classifier 50Mif-match acl 3500定义一个类别，traffic classifier 50M，其中50M为自定义名称，引用ACL 3500策略第四章定义行为traffic behavior 50Mcar cir 51200 pir 51200 cbs 51200 pbs 51200 green passyellow pass red discard 定义一个行为，自定义名称为50M，流量设置为50M第五章关联类别和行为traffic policy 50Mclassifier 50M behavior 50M定义一个策略，将类别和行为关联第六章应用在端口下interface GigabitEthernet0/0/5traffic-policy 50M inboundtraffic-policy 50M outbound在接口下调用traffic-policy 50M，设置出入限制总结：1．设置限速时间策略2．ACL与时间策略关联3．traffic policy调用ACL时间策略、调用限速策略。

实验名称:基于时间ACL实验设备：路由器3700三台、交换机一台、PC机（验证配置）(模拟器GNS3)实验拓补：基本配置Router>enableRouter#configure terminalRouter(config)#hostname R1R1(config)#interface Serial0/0R1(config-if)#ip address 192.168.100.10 255.255.255.252R1(config-if)#no shutdownR1(config)#interface Serial0/1R1(config-if)#ip address 192.168.100.2 255.255.255.252R1(config-if)#no shutdownR1(config)#interface fastEthernet 0/1R1(config-if)#no ip addressR1(config-if)#no shutdownR1(config)#interface fastEthernet 0/1.1R1(config-subif)#encapsulation dot1Q 1R1(config-subif)#ip address 192.168.1.254 255.255.255.0R1(config-subif)#no shutdownR1(config)#interface fastEthernet 0/1.2R1(config-subif)#encapsulation dot1Q 10R1(config-subif)#ip address 192.168.10.254 255.255.255.0R1(config-subif)#no shutdownR1(config)#interface fastEthernet 0/1.3R1(config-subif)#encapsulation dot1Q 20R1(config-subif)#ip address 192.168.20.254 255.255.255.0R1(config-subif)#no shutdownR1(config)#router ripR1(config-router)#version 2R1(config-router)#network 192.168.0.0R1(config-router)#network 192.168.100.0R1(config-router)#default-information originate/**配置动态默认路由R2(config)#interface serial 0/0R2(config-if)#ip address 192.168.100.6 255.255.255.252R2(config-if)#no shutdownR2(config)#interface serial 0/1R2(config-if)#ip address 192.168.100.9 255.255.255.252R2(config-if)#no shutdownR2(config)#interface fastEthernet 0/0R2(config-if)#ip address 192.168.2.1 255.255.255.0R2(config-if)#no shutdownR2(config)#router ripR2(config-router)#version 2R2(config-router)#network 192.168.100.0R2(config-router)#network 192.168.2.0R3(config)#interface serial 0/0R3(config-if)#ip address 192.168.100.5 255.255.255.252R3(config-if)#no shutdownR3(config)#interface serial 0/1R3(config-if)#ip address 192.168.100.1 255.255.255.252R3(config-if)#no shutdownR3(config)#interface fastEthernet 0/0R3(config-if)#ip address 200.1.1.1 255.255.255.0R3(config-if)#no shutdownR3(config)#router ripR3(config-router)#version 2R3(config-router)#network 192.168.100.0R3(config-router)#network 200.1.1.0基于时间ACL配置例：某公司希望在出口路由器上使用基于时间的ACL 实现：周一至周五的上午8：00 到12：00 ,下午14：00 到18：00 ,只允许用户收发邮件，非工作时间允许所有的访问.R3(config)#time-range working /**定义时间范围的名字，这里名字为workingR3(config-time-range)#periodic weekdays 8:00 to 12:00 /**定义时间范围R3(config-time-range)#periodic weekdays 13:00 to 18:00/**两条加起来就是周一到周五从早上8:00 到下午16:00 ，出去中午两小时休息时间。