基于时间的访问控制列表ACL

实验名称 基于时间的访问控制列表ACL
一、 实验目的
1、掌握时间范围的建立及修改设备的时间；
2、掌握基于时间的访问控制列表ACL命令的使用。
二、实验仪器设备或材料
Cisco PT
Gns3
华为Ensp
三、实验原理
一些公司要求员工在上班时间内不能使用迅雷、百度云等下载软件，也不能浏览某些特定网页如游戏、娱乐、视频等，而非上班时间则可以正常访问。像这种限制用户在某个时间内不能使用某种服务的需求，可以通过基于时间的访问控制列表来实现。
基于时间的访问控制列表由两部分组成：第一部分是用time-range命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围；第二部分是用扩展访问控制列表定义规则。定义时间段的命令格式如下：
time-range时间段名称
absolute start [小时：分钟] [日 月 年] [end] [小时：分钟] [日 月 年]
periodic days-of-the week 小时:分钟to[days-of-the week]小时:分钟
days-of-the week指的是具体星期几/daily（每天）/weekdays（周一至周五）/weekend（周末）。
在定义time-range时，常用的时间分为两种：第一种叫做绝对时间（absolute），即这个时间只生效一次，比如2018年10月9月17:30；另一种时间叫做周期时间（periodic），即这个时间是会多次重复的，比如每周一，或者每周一到周五。每个时间范围只能有一个absolute命令，但它可以有多个periodic命令。
四、实验内容与步骤
根据图2-1所示的网络拓扑图，完成基于时间ACL的配置。

图2-1 实验拓扑图
要求PC在上班时间内（8:30～18:00）不能访问外网某视频网站，下班时间可以访问，内网服务器的访问无时间限制。
路由器Router和PC机要添加NM-1FE-TX模块，并且连接两个设备的f1/0端口（保持端口类型统一性）。
1、配置PC机的基本IP信息，服务器和外网云做类似配置。
PC(config)#no ip routing
PC(config)#int f1/0
PC(config-if)#ip address 192.168.28.2 255.255.255.0
PC(config-if)#no shutdown
PC(config-if)#exit
PC(config)#ip default-gateway 192.168.28.254
PC(config)#exit

Server(config)#no ip routing
Server(config)#int f0/0
Server(config-if)#ip address 10.1.28.8 255.255.0.0
Server(config-if)#no shutdown
Server(config-if)#exit
Server(config)#ip default-gateway 10.1.28.254
Server(config)#exit

Internet(config)#no ip routing
Internet(config)#int f0/0
Internet(config-if)#ip address 213.10.28.10 255.255.255.252
Internet(config-if)#no shutdown
Internet(config-if)#exit
Internet(config)#ip default-gateway 213.10.28.9
Internet(config)#exit
2、配置路由器的基本IP信息。
Router(config)#int f0/0
Router(config-if)#ip address 10.1.28.254 255.255.0.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#no shutdown
Router(config)#int f0/1
Router(config-if)#ip address 213.10.28.9 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int f1/0
Router(config-if)#ip address 192.168.28.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
3、配置基于时间的访问控制列表，并应用到端口上。
Router(config)#time-range zttime1 //创建并定义Time-range接口
Router(config-time-range)#absolute start 8:30 1 jan 2015 end 18:00 30 dec 2020
Router(config-time-range)#periodic daily 8:30 to 18:00
//有效时间为2015年1月1日8:30至2020年12月30日18:00内每天的8:30到18:00
Router(config-time-range)#exit
Router(config)#ip access-list extend zt_net_list1 //定义基于时间的ACL
Router(config-ext-nacl)#deny ip any host 213.10.28.10 time-range time1
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#int f1/0
Router(config-if)#ip access-group zt_net_list1 in //应用ACL规则到端口上
Router(config-if)#exit
五、实验结果与分析
1、用show clock命令查看路由器现在的设备时间，然后修改设备时间，这里修改为2020年4月2日17:03:00（上班时间）


图2-2修改路由器设备时间
2、用PC机ping内网服务器和外网某视频网站，发现前者可ping通而后者则ping不通，但是可以ping通路由器的端口。且外网可以访问内部服务器但无法ping通PC机。如图2-3，图2-4所示。

图2-3上班时间内的PC机ping通测试

图2-4上班时间内的外网ping通测试
3、修改设备时间为2020年4月2日19：00（下班时间），用PC机ping内网服务器和外网某视频网站，发现都可ping通，外网也可以ping通PC机。如图2-5，图2-6所示。

图2-5下班时间内PC机的ping通测试

图2-6下班时间内外网的ping通测试
4、通过show time-range和show access-list命令可以看到已配置的时间范围和控制列表状态。

图2-7 查看时间范围和控制列表状态
六、结论与体会
本次实验让我学到了路由器中有两种常用访问控制列表（Access-List），一种是标准访问列表，另一种是扩展访问列表。前者主要用于基于源和目标地址的数据包过滤，而后者用于基于目标地址、源地址和网络协议及其端口号等的数据包过滤。通过访问控制列表，可以根据一天中不同时间或者根据一周中的不同日期控制网络数据包的转发，给网管人员的日常维护带来很大便利