演示：命名的ACL和带时间的ACL

第10章实施网络安全任务10.2.5演示：命名ACL的配置命名的访问控制列表，或者叫作基于名称的访问控制列表，并不是一种新的ACL技术，事实上，它构造于上面所述的标准ACL和扩展ACL技术之上，它继承了标准ACL和扩展ACL所具备的所有特性与实施原则。以数字编号作为名称的ACL在应用一段时间后，有时管理员往往会忘记这些ACL的过滤功能是什么，因为数字编号永远不方便记忆。例如：有一个控制访问财务部门的ACL101共有50条控制语句，从配置日期开始过了几年后，管理员还会记得这个ACL101是干什么的吗？如果在这几年里，管理员离职了，新加入的管理员能成功地识别ACL101中的50条控制语句是做什么的吗？所以，可以采取命名ACL的方案来替代原来的以数字编号作为标识的标准ACL或者扩展ACL，这样ACL将具有标识性意义。关于命名ACL的配置如下。任务10.2.5关于命名ACL的配置：R1(config)#ipaccess-list?extendedExtendedAccessList*建立扩展的命名ACLlog-updateControlaccesslistlogupdatesloggingControlaccesslistloggingresequenceResequenceAccessListstandardStandardAccessList*建立标准的命名ACLR1(config)#ipaccess-listextendedfinance*建立一个名叫finance的命名ACL列表R1(config-ext-nacl)#denyip55hostR1(config-ext-nacl)#denyip55hostR1(config-ext-nacl)#denyip55hostR1(config-ext-nacl)#permitip55hostR1(config-ext-nacl)#exitR1(config)#interfacee1/0R1(config-if)#ipaccess-groupfinancein*在接口上应用这个命名ACLR1(config-if)#exit任务10.3配置思科设备上的高级访问控制功能

上一节描述了关于基础ACL（标准ACL和扩展ACL）的应用，它们是所有ACL类型的学习基础，换而言之，其他类型的ACL都是在它们的基础和语法之上进行扩展的，使其支持更广泛的应用，体现应需而动的控制，具备更智能与深层次的识别。比如：某些控制需要在不同的时间段生效；某些访问信源的来源太广泛，你根本就无法知道它们的源地址是什么；或者源主机的数量太多，并且被分布到不同的子网中，你不可能逐条书写ACL语句，那么，管理员如何确认这些访问源的身份？如何为这些访问源书写ACL语句？这将是本节讨论的重点，而这些问题是基础ACL无法解决的。本节将描述带时间的ACL、动态ACL、自反ACL、思科IOS防火墙的配置。任务10.3.1演示：带时间ACL的配置在某些环境中，可能会有这样一种需求：在每个工作日（星期一到星期五）的8：30～17：30可以访问公司内部的某些服务，下班后和非工作日则不能访问。在这种情况下标准ACL和扩展ACL就无法满足控制需求，所以就产生了带时间的访问控制列表。带时间的访问控制列表在使用原则与语法上和基础ACL没有太大区别，区别在于它能使控制策略在不同的时间段生效。配置带时间ACL的注意事项配置带时间的ACL必须保证网络上的时钟同步，可以到路由器上设置时间，也可以通过NTP（网络时钟协议）来同步网络中的时间。配置带时间的ACL必须要建立时间表。

配置ACL的控制语句，然后将所建立的时间表关联到ACL上。任务10.3.1演示：带时间ACL的配置演示目标：配置带时间的ACL。演示环境：如图10.17所示。演示背景：公司提供两种Web服务，其中一种是基于众所周知的80号端口的Web服务；另一种是基于TCP8001号端口的Web服务。要求主机A在每个工作日（星期一到星期五）的8：30～17：30可以访问公司的基于众所周知的80号端口的Web服务，但是不允许访问TCP端口号是8001的Web服务；在非工作时间（星期一到星期五的17:31～8:29、星期六和星期天的全天）才可以访问TCP端口号是8001的Web服务，但是不能访问公司的基于众所周知的80号端口的Web服务；任何时间都可以访问DNS服务器。请使用带时间的ACL完成上述的控制要求。图10.17带时间ACL的演示环境任务10.3.1首先为网络配置时钟同步，在路由器R1上配置时钟源，然后将其配置成时钟服务器即NTP服务器，最后路由器R2通过时钟服务器R1进行时钟同步。具体配置如下。配置路由器R1的时钟源：R1#clockset00:52:3018jun2012*配置路由器R1的时间（写作时的时间）R1(config)#ntpmaster*配置路由器R1为NTP服务器R1(config)#ntpsourceethernet1/1*指示NTP的更新源接口为路由器R1的E1/1接口配置路由器R2从NTP服务器获得时间同步：R2(config)#ntpserver*声明NTP服务器的IP地址（路由器R1的E1/1接口）确保在没有配置ACL之前，主机A可以任意访问00的各项服务。现在根据演示背景中的要求进行配置，具体配置如下。在路由器R1上配置带时间的ACL：R1(config)#time-rangeworkday*命名一个叫作“workday”的时间段R1(config-time-range)#?*使用帮助系统（？）查看时间段下可配置的指令Timerangeconfigurationcommands:absoluteabsolutetimeanddate*配置绝对时间的关键字

defaultSetacommandtoitsdefaultsexitExitfromtime-rangeconfigurationmodenoNegateacommandorsetitsdefaultsperiodicperiodictimeanddate*配置周期时间的关键字任务10.3.1绝对时间是指一个具体的开始时间到一个明确的结束时间。绝对时间不具备复用性；周期时间则具备复用性。在该演示环境中，使用周期时间来完成时间配置。具体配置如下：R1(config-time-range)#periodicweekdays08:30to17:30*配置可访问的工作日周期时间，关键字weekdays指示工作日（星期一到星期五）R1(config)#time-rangenoworkday*配置一个叫作“noworkday”的非工作时间的时间段R1(config-time-range)#periodicweekdays17:31to23:59*配置星期一到星期五的17:31到23:59的非工作时间周期R1(config-time-range)#periodicweekdays00:00to8:29*配置星期一到星期五的00:00到8:29的非工作时间周期R1(config-time-range)#periodicweekend00:00to23:59*配置周末的非工作时间，weekend表示周末ipaccess-listextendedfilter*建立一个名为“filter”的扩展访问控制列表

permitudphosthost00eqdomain*任何时间都可以访问DNS服务，该语句没有必要带上时间段

permittcphosthost00eqwwwtime-rangeworkday*允许工作时间访问基于众所周知端口号的Web服务。关联工作时间段“workday”denytcphosthost00eq8001time-rangeworkday*不允许工作时间访问基于TCP8001号端口的Web服务。关联工作时间段“workday”permittcphosthost00eq8001time-rangenoworkday*允许非工作时间访问基于TCP8001号端口的Web服务。关联非工作时间段“noworkday”denytcphosthost00eqwwwtime-rangenoworkday*不允许非工作时间访问众所周知端口号的Web服务。关联非工作时间段“noworkday”R1(config)#interfacee1/0R1(config-if)#ipaccess-groupf