工程2项目3 ACL

1、ACL协议协议 工程工程2 2项目项目3 3 第第12-13讲讲 为什么要使用访问列表可以是路由器或可以是路由器或三层交换机或防三层交换机或防火墙火墙n 限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。n 限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。n 提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。n 检查和过滤数据包，决定转发或者阻止哪些类型的数据

2、流。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。ACL的功能访问列表的v使用访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器的接口上ACL使用规则的定义v 访问控制列表（ACL）是运用到交换机、路由器接口的指令列表。这些指令告诉交换机、路由器接受哪些数据报而拒绝哪些数据报。v 接受或者拒绝根据一定的规则进行，如源地址，目标地址，端口号等。ACL

3、使得用户能够管理数据流，检测特定的数据报。v 交换机、路由器将根据ACL中指定的条件，对经过交换机、路由器端口的数据报进行检查。v ACL在交换机、路由器的端口过滤网络数据流，决定是否转发或者阻止数据报。v ACL应该根据交换机、路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。 例如，如果端口配置成允许IP,Appletalk和IPX协议的数据流，那么就需要创建至少三个ACL。 访问列表规则的应用v 交换机、路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2

4、.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤v 一个接口在一个方向只能应用一组访问控制列表ACL的工作流程v 无论是否使用ACL，开始的通信过程是相同的。v 当一个数据报进入一个端口，交换机（路由器）检查这个数据报是否可路由。 如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。 如果有，根据ACL中的条件指令，检查这个数据报。 如果数据报是被允许的，就查询路由表，决定数据报的目标端口。v 交换机（路由器）检查目标端口是否存在ACL控制流出的数据报 不存在，这个数据报就直接发送到目标端口。 如果存在，就再根据ACL进行取舍。 到 达 访 问 控 制 组 接口 的

5、 数 据 包 是 非 匹 配 第 一 步 匹 配 第 二 步 匹 配 最 后 一 步 数 据 包 垃 圾 桶 目 的 接 口 是 允 许 ？ 是 是 非 非 非 非 图图 ACLACL匹配性检查匹配性检查 IP ACL的基本准则v一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。v按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配v从头到尾，至顶向下的匹配方式v匹配成功马上停止v立刻使用该规则的“允许、拒绝”Y拒绝Y是否匹配测试条件1?允许N拒绝允许是否匹配测试条件2?拒绝是否匹配

6、最后一个测试条件?YYNYY允许被系统隐含拒绝N 一个访问列表多个测试条件对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permit any。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(deny any)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。只过滤数据包

7、源地址的ACL应该放置在离目的地尽可能近的地方；过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方；配置ACL的原则v最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。允许或者禁止来自于某各个网络的所有数据流，或者禁止某一套协议的数据流的场合。过滤源地址TCP/UDP数据IPeg.HDLC1-99 号列表 IP标准访问列表 IP标准访问列表的配置v1.定义标准ACL 编号的标准访问列表Router(config)#access-list permit|deny 源IP地址 反掩码 命名的标准访问列表switch(config)

8、# ip access-list standard switch(config-std-nacl)#permit|deny 源地址源地址 反掩码反掩码v2.应用ACL到接口 Router(config-if)#ip access-group |name in | out IP标准访问列表的配置示例例1： ip access-list 1 deny 55 ip access-list 1 permit 55 ip access-list 1 permit 55例2： IP acce

9、ss-list 10 Permit host IP access-list 10 Permit host 例3： Switch(config)# IP access-list standard deny-host192.168.l2.x Switch(config-std-nacl)# deny 55 Switch(config-std-nacl)# permit any Switch(config-std-nacl)# end 0表示检查相应的地址比特 1表示不检查相应的地址比特00111111128

10、643216842100000000000011111111110011111111反掩码（通配符掩码）通配掩码v 通配掩码（wildcard mask）是分成4字节的32bit数。通配掩码与IP地址位位配对，相应位为0/1，用于表示如何对待IP地址中的相应位。 通配掩码某位是0，表示检查相应bit位的值； 通配掩码某位是1，表示不检查(忽略)相应位的值。 v ACL使用通配掩码来控制一个或者多个需要进行允许或者禁止检查的IP地址。v 尽管都是32位，通配掩码与子网掩码不同。在子网掩码中，0/1决定了相应主机IP地址是网络位、子网位还是主机位。在通配掩码中，0/1决定ACL是否检查或者忽略IP

11、地址中的相应位。通配掩码的工作原理通配掩码举例v 假设一个B类地址，有8位的子网地址。想使用通配掩码，允许所有来自于网络网络的数据报访问。通配掩码举例v假设一个B类地址，有8位的子网地址。想使用通配掩码，允许所有来自于网络网络的数据报访问。 首先，检查前面两个字节(171.30)，通配掩码中的前两个字节位全为0。由于没有兴趣检查主机地址，通配掩码的最后一个字节位全为1。 通配掩码的第三个字节应该是15 (00001111)。 与之相应的通配掩码是55，将匹配子网到171

12、.30.31.0的IP地址。通配掩码举例v IP地址的第三个字节为16 (00010000)。通配掩码中的前四位为0，告诉路由器要匹配IP地址的前四位(0001)。由于最后的四位被忽略，则所有的在范围16 (00010000)到31 (00011111)的都将被允许，相应的通配掩码位是1。.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31any命令v使用二进制通配掩码很不方便，某些通配掩码可

13、以使用缩写形式替代。这些缩写形式，减少了在配置地址检查条件时候的键入量。v假如想允许任何目标地址都被允许，为了检查任何地址，需要输入。要使ACL忽略任意值，通配掩码为：55。可以使用缩写形式，来指定相同的测试条件。 Router(config)# access-list 1 permit 55等价于 Router(config)# access-list 1 permit anyhost命令 v当想匹配IP地址中所有的位时，允许使用另一个ACL通配掩码的缩写。v假如希望一个特定的IP地址，在ACL的检查中获得允许

14、。为了指明这个主机地址，将输入整个地址（如9）。然后，为了指明ACL将检查地址中的所有的位，相应的通配掩码的各位将设置成0（即）。可以使用缩写形式来完成这个任务。 Router(config)# access-list 1 permit 9 等价于 Router(config)# access-list 1 permit host 9any 和host命令关于通配符掩码的使用说明v 表示成4位点分十进制形式。默认的通配符掩码为。v 在通配符掩码位中，0表示“检查相应的位”，而1表示“不

15、检查(忽略)相应的位”。v 比如，源地址和通配符掩码为 55，表示路由器前3个8位组必须精确匹配，最后1个8位组的值可以任意。v 再如，如要指定IP地址为从到之间的所有子网，则通配符掩码为55 (31-16=15)。v any可以表示任何IP地址，例如：Router(config)# access-list 10 permit any v host表示一台主机，例如：Router(config)# access-list 10 permit host 172. 16. 30.22 配置实例1：只允许

16、指定的网络数据v需求： E0和E1端口只允许来自于网络的数据报被转发，其余的将被阻止。Switch(config)# access-list 1 permit 55Switch(config)# interface ethernet 0Switch(config-if)# ip access-group 1 outSwitch(config)# interface ethernet 1Switch(config-if)# ip access-group 1 out3E0S0E

17、1Non-配置实例2：禁止来自特定地址的数据v需求： E0端口不允许来自于特定主机3的数据流，但允许其他的所有主机的数据流被转发。Switch(config)# access-list 2 deny 3 Switch(config)# access-list 2 permit 55(或switch(config)# access-list 2 permit any )Switch(config)# interface ethernet 0Switch(config-if)# i

18、p access-group 2 out3E0S0E1Non-配置实例3：禁止来自特定子网的数据v需求： E0端口不允许来自于特定的子网的数据，而转发其它的数据。Switch(config)# access-list 10 deny 55Switch(config)# access-list 10 permit anySwitch(config)# interface ethernet 0Switch(config-if)# ip access-group 1

19、0 out3E0S0E1Non-课堂实验 应用实例（1）某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许销售部的主机PC1访问财务部，但拒绝销售部的其他主机访问财务部，允许市场部网络上所有其他流量访问财务部。 .S0/0/0 /24 RTA RTB 销售部 市场部 财务部 F0/1 PC2:0/24 F0/0 F0/0 S0/0/0 PC1: 0/24 PC

20、3: 0/24 /24 /24 /24 .1 .1 .1 .2 .2 图图 标准标准ACLACL配置配置 配置步骤如下：配置步骤如下：(1) (1) 配置标准配置标准ACLACL在路由器上在路由器上RTBRTB上配置如下：上配置如下：RTB(config)#access-list 1 permit host 0RTB(config)#access-list 1 deny 55RTB(config)#access-list 1 permit anyRT

21、B(config)#interface s0/0/0RTB(config-if)#ip access-group 1 in(2) 验证标准ACL show access-lists命令RTB# show access-lists show ip interface命令RTB# show ip interface 课堂实验 应用实例（2）利用标准ACL限制虚拟终端访问的问题。配置一个VTY访问控制列表，只允许网络/24中的主机00 telnet路由器RTA。 图图 用标准用标准ACLACL限制限制TelnetTelnet访问访问

22、/24 . .RTA PC2:0/24 PC1:00/24 F0/0 .1 配置方法如下：RTA(config)# access-list 10 permit host 00 RTA(config)# line vty 0 4RTA(config-line)# password ciscoRTA(config-line)# loginRTA(config-line)# access-class 10 in注意：注意：access-group access-group 命令用于将访问控制列表应用于物理接口命令用于将访问控制列表应用

23、于物理接口access-class access-class 命令用于将访问控制列表应用于命令用于将访问控制列表应用于VTYVTY虚拟接口虚拟接口用户可以连接所有的用户可以连接所有的VTYVTY，因此所有的，因此所有的VTYVTY连接都应用相同的连接都应用相同的ACLACL标准访问控制列表应用实例（3）v需求： 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。v配置：ip access-list standard abcpermit host deny 55v应用ACL到接口：I

24、nt vlan 10Ip access-group abc out 例如，可以使用扩展ACL来实现允许Web数据流，而禁止FTP或Telnet。可以允许来自于E0而到S0的e-mail数据，而禁止远程登录或者文件传输。目的IP地址源IP地址协议端口号100-199号列表 TCP/UDP数据IPeg.HDLC扩展ACL的工作过程 数据包垃圾桶 接口上 有ACL？ 源地址匹配ACL？ 目的地 址匹配ACL？ 匹配协议和端口？ 允许或拒绝 将数据包路由至目的接口 是否最后一条语句 移到下一条语句 发送目标未找到信息 非 非非非非是 是 是 是 是 允许 拒绝 IP扩展访问列表的配置v1.定义扩展的A

25、CL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 操作符 源端口 目的地址 反掩码 操作符 目的端口 命名的扩展ACLip access-list extended permit /deny 协议 源地址 反掩码操作符 源端口 目的地址 反掩码 操作符 目的端口 v2. 删除扩展ACL Router(config)# no access-list access-list-numberv3.应用ACL到接口 Router(config-if)#ip access-group in | out 扩展ACL参数及描述参数描述

26、a c c e s s - l i s t -number访问控制列表表号，使用一个100到199或2000到2699之间的数字来标识一个扩展访问控制列表deny如果条件符合就拒绝后面指定的特定地址的通信流量permit如果条件符合就允许后面指定的特定地址的通信流量协议用来指定协议类型，如IP、ICMP、TCP或UDP等地址数据包的源地址和目的地址，可以是网络地址或是主机IP地址反掩码应用于源地址的通配符掩码操作符(可选项)比较源和目的端口，可用的操作符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)和range(包括的范围)如果操作符位于源地址和源地址通配符之后，那么它必须匹配

27、源端口。如果操作符位于目的地址和目的地址通配符之后，那么它必须匹配目的端口。range操作符需要两个端口号，其他操作符只需要一个端口号端口号(可选项)指明TCP或UDP端口的十进制数字或名字。端口号可以从0到65535 IP扩展访问列表配置实例v下例显示如何创建一条Extended IP ACL，该ACL用于允许指定网络（192.168.x.x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络。 Switch (config)# access-list 101 permit tcp 55 host 172.168.12

28、.3 eq www Switch # show access-lists部分端口号的描述和使用的协议端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP数据TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NameServer主机名字服务器UDP53Domain域名服务器（DNS）TCP/UDP69TFTP普通文件传输协议（TFTP）UDP80WWW万维网TCP课堂实验 扩展ACL配置示例（1）某企业生产部、业务部的网络和财务部、某企业生产部、业务部的网络和财务部、InternetInternet的网络通过路由器

29、的网络通过路由器RaRa和和RbRb相连，整相连，整个网络配置个网络配置ospfospf路由协议，保证网络正常通信。要求在路由协议，保证网络正常通信。要求在RaRa上配置扩展上配置扩展ACLACL，实现以下，实现以下4 4个个功能功能(1)(1)允许生产部网络允许生产部网络的主机访问的主机访问InternetInternet上的上的WWW Server 0WWW Server 0；(2)(2)允许生产部网络允许生产部网络的主机访问的主机访问InternetInternet上的上的FT

30、P Server 0 FTP Server 0 ；(3)(3)拒绝生产部网络拒绝生产部网络的主机的主机TelnetTelnet路由器路由器R R；(4)(4)拒绝生产部主机拒绝生产部主机00PingPing路由器路由器R R。(5)(5)拒绝生产部主机访问财务部主机。拒绝生产部主机访问财务部主机。(6)(6)允许业务部主机访问财务部主机允许业务部主机访问财务部主机00和和InternetInternet。配置方法如下：access-list 1

31、00 permit tcp 55 host 0 eq 80access-list 100 permit tcp 55 host 0 eq 20access-list 100 permit tcp 55 host 0 eq 21access-list 100 deny tcp 55 host eq 23access-list 100 deny tcp 0.0.0.

32、255 host eq 23access-list 100 deny tcp 55 host eq 23access-list 100 deny icmp 55 host access-list 100 deny icmp 55 host access-list 100 deny ip 55 55access-list 100 permi

33、t ip 55 host 0access-list 100 deny ip 55 55access-list 100 permit ip 55 anyinterface s 0/1/0ip access-group 100 out扩展ACL举例v以下图的结构为例，介绍扩展ACL的使用。 实例1：在E0端口，禁止转出来自子网的FTP数据流到子网，其它的数据流将被转发。 实例2：在E0端口，禁止转

34、出来自子网的 Telnet 数据流，其它的数据流将被转发。3E0S0E1Non-实例1：禁止转出FTP数据v 在E0端口，禁止转出来自子网的FTP数据流到子网，其它的数据流将被转发。 第一个ACL命令用“deny”禁止来自子网的FTP-DATA（port=20）数据流到子网。 第二个ACL命令用“deny”禁止来自子网的FTP（port=21）数据流到子网。 第三个ACL命令表

35、示允许任何的数据流。 最后将此ACL101关联到端口E0。access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any anyinterface ethernet 0ip access-group 101 out实例2：禁止转出Telnet 数据v在E0端口，禁止转出来自子网的 Telnet

36、数据流，其它的数据流将被转发。 第一个ACL命令用“deny”禁止来自子网的Telnet(port=23)数据流。 第二个ACL命令表示允许任何的数据流。 最后将此ACL101关联到端口E0。access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any anyinterface ethernet 0ip access-group 101 outACL实例v下面的 IP 访问列表的作用是什么：access-list 1 permit 4 0.0.0

37、.63v下面的 IP 扩展访问列表的作用是什么：access-list 102 permit tcp any any eq domainaccess-list 102 permit udp any any eq domainaccess-list 102 permit icmp any any echoaccess-list 102 permit icmp any any echo-replyACL实例v下面的 访问列表是否正确，如果正确其作用是什么？access-list 1 permit 54 access-list 100 permit 192.1

38、68.14.1 55access-list 10 permit ip any anyaccess-list 150 permit ip any any eq 80ACL实例v如果让lan中的 0-39/24这10个ip地址不可以上web， 其 IP 扩展访问列表该如何写？access-list 100 deny tcp 0 any eq 80access-list 100 deny tcp 2 any eq 80access-list 100 permit ip any any扩展访

39、问控制列表应用实例控制要求：（1）网段3的所有主机能且只能访问internet，并只能浏览WWW；（2）网段2中的这4台主机可向internet提供WWW、FTP、SMTP服务，其余主机不能被internet访问； （3）禁止网段1访问其它任何网络。E1S1E0internet/24S0网段1网段3网段2扩展访问控制列表应用实例access-list 101 deny ip 55 55access-list 1

40、01 deny ip 55 55access-list 101 permit tcp 55 any eq www|80access-list 102 permit tcp any eq www|80access-list 102 permit tcp any eq ftp-data|20access-list 102 permit tcp any eq ftp

41、|21access-list 102 permit tcp any eq smtp|25access-list 103 deny ip any anyinterface e1ip access-group 101 ininterface s1ip access-group 102 ininterface e0ip access-group 103 in思考问题：1.访问控制列表在输入过程中，输错了地址，该怎么办？2.访问控制列表的顺序能否调整？3.能否在访问控制列表中间插入一个新的语句？4.能否删除访问控制列表的某一个语句？ACL的放置vACL可以用于控

42、制数据流，消除不需要的数据流。依赖于ACL放置的位置，可以减少不必要的数据流。如在远离目的端，禁止某些数据流，可以减少使用到达目的端的网络资源。vACL放置的规则是：尽量将扩展ACL放置在靠近被拒绝的数据源。标准ACL不能指定目标地址，所以需要把标准ACL放置在尽量靠近目标的地方。ACL的放置问题说明：1. 对锐捷网络设备，锐捷路由器只支持基于编号的访问控制列表，而锐捷交换机只支持基于命名的访问控制列表。2. 访问控制列表不但能够作用于交换机、路由器的物理端口，还可以作用于交换机的VLAN虚接口。访问列表的验证v 显示全部的访问列表 Router#show access-listsv 显示指定

43、的访问列表 Router#show access-lists v 显示全部的IP访问列表 Router#show ip access-listsv 显示指定的访问列表 Router#show ip access-lists v 显示接口的访问列表应用 Router#show ip interface v 使用show running-config 显示ACL详细信息和绑定位置访问列表的注意事项1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。2、所有访问列表默认规则是拒绝所有数据包3、处理方式只有允许通过和拒绝通过4、锐捷路由器只能编写编号方式的规则5、锐捷交换机只能编

44、写命名方式的规则6、一个端口在某一方向只能应用一组访问列表基于时间的访问列表一、概念v 在扩展访问列表命令的定义格式中有一个time-range time-range-name参数(P241)，该参数用来定义基于时间的扩展访问列表，它规定了扩展访问控制列表所定义的访问规则，只有在time-range规定的时间段内才能起作用。基于时间的访问列表二、应用需求基于时间的访问列表二、应用需求v 如图所示，这是一个公司的网络示意图，路由器的F1/0端口连接着员工的办公网络（/16），F1/1连接着公司的服务器网络（/24），该公司网络通过路由器的S1/2端口连接至

45、internet，路由器的F1/0和F1/1端口的地址分别为：/24和/24。为了保证公司上班时间的工作效率，公司要求上班时间只可以访问公司内部的网站，下班以后员工可以随意放松，访问网络不受限制。基于时间的访问列表三、解决方案：1.利用time-range命令定义时间段，并用一个absolute命令指定绝对时间，用一个或多个periodic 命令指定周期性的时间。命令格式：time-range time-range-nameabsolute start time date end time dateperiodic days-of-the-week hh

46、:mm to days-of-the-week hh:mm2. 在扩展访问列表中应用time-range命令定义时间段。基于时间的访问列表四、time-range命令本命令为创建/进入指定的 time-range 配置接口，其 no 形式将恢复系统默认设置。time-range time-range-nameno time-range time-range-name基于时间的访问列表【命令模式】全局配置模式【使用指南】Time-range 接口是以其名称来唯一标识的。RGNOS 现在只允许在扩展的 ACL 中关联 Time-range 接口。同一个扩展 ACL 可以关联多个 Time-rang

47、e 接口。创建time-range 接口后,需要使用 periodic 命令与(或)absolute 命令来使其生效。对于指定的 time-range 接口,只允许存在一个 Absolute 规则,但是允许同时存在多个Periodic 规则。基于时间的访问列表【举例】! 创建名称为”tr”的 time-range 接口并设置 Periodic 规则Red-Giant#config terminalRed-Giant(config)#time-range trRed-Giant(config-time-range)#periodic daily 9:00 to 13:30Red-Giant(co

48、nfig-time-range)#endRed-Giant#基于时间的访问列表五、 absolute命令本命令为指定的 time-range 接口设置 absolute 规则，其 no 形式将恢复系统默认设置。absolute start time date end time dateno absolute【参数说明】start time date (可选)Absolute 规则生效的起始时刻(time and date)，其中 time 使用 24 小时时钟以小时:分钟的形式表示。比如 8:00 是指早上 8:00 而 20:00 则是指下午 8:00；date 是以日 月 年的形式表示。最

49、早的起始时刻为 1993 年 1 月 1 日00:00。如果没有指定起始时刻,表示 Absolute 规则立即生效。end time date (可选)Absolute 规则生效的终止时刻(time and date)，其中的 time与 date 采用于 start time date 中相同的格式。终止时刻必须在起始时刻之后。最晚的终止时刻为 2035 年 12 月 31 日 23:59。如果没有指定终止时刻,表示 Absolute 规则不会失效。注：年和日用数字表示，月用英文单词或其简写表示(january 、february、March、April、May、June、July、Augu

50、st、September 、October、November、 December )基于时间的访问列表【使用指南】absolute 命令可以用来使得一个 Time-range 接口生效,当然也可以通过 periodic 命令指定一个周期性的时间来使得 Time-range 接口生效。对于每一个 Time-range 接口只允许设置一条 Absolute 规则。如果一个 Time-range 接口既存在 Absolute 规则同时也存在 Periodic 规则,那么只有满足 Absolute 规则的时候才考虑 Periodic 规则的匹配问题。注意，无论是 Absolute 命令还是 Perio

51、dic 命令设置的规则，其中的时刻都是以路由器本地时刻为准的。用户在应用基于时间的 ACL 的时候，必须确保路由器拥有可靠的实时时钟并校正路由器本地系统的时钟自己的时钟同步。基于时间的访问列表【举例】! 在 Time-range 接口 trange 上，设置 Absolute 规则Red-Giant#config terminalRed-Giant(config)#time-range trangeRed-Giant(config-time-range)#absolute start 0:0 1 0ct 2010 end 23:59 30 Sep 2015Red-Giant(config-ti

52、me-range)#endRed-Giant#基于时间的访问列表六、 periodic本命令为指定的 time-range 接口设置 periodic 规则，其 no 形式将恢复系统默认设置。periodic days-of-the-week hh:mm to days-of-the-week hh:mmno periodic days-of-the-week hh:mm to days-of-the-week hh:mm【参数说明】days-of-the-week 该参数第一次出现指明在一周的哪一(几)天 Periodic 规则开始生效;该参数第二次出现指明在一周的哪一(几)天 Period

53、ic 规则开始失效。该参数可以是以下的值:(1)Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday， 一 周 中 的 某 一 天 或 者 某 几天:。(2)daily:从 Monday 到 Sunday; (3)weekdays:从 Monday 到 Friday; 94)weekend:从Saturday 到 Sunday。hh:mm 该参数第一次出现指明 Periodic 规则开始生效的时刻;该参数第二次出现指明 Periodic 规则失效的时刻。hh:mm 是采用 24 小时时钟来表示。如 8:00 表示上午 8:00；20:

54、00 表示下午 8:00。基于时间的访问列表【使用指南】periodic 命令可以用来使得一个 Time-range 接口生效，当然也可以通过 absolute命令指定一个绝对时间来使得 Time-range 接口生效。对于每一个 Time-range接口只允许设置一条 Absolute 规则，但是可以同时设置多条 Periodic 规则。如果一个 Time-range 接口既存在 Absolute 规则同时也存在 Periodic 规则，那么只有满足 Absolute 规则的时候才考虑 Periodic 规则的匹配问题。注意，无论是 Absolute 命令还是 Periodic 命令设置的规则，其中的时刻都是以路由器本地时刻为准的。用户在应用基于时间的 ACL 的时候，必须确保路由器拥有可靠的实时时钟并校正路由器本地系统的时钟自己的时钟同步。