个扩展访问列表的基础上再加上时间控制就达到了目的。因为是要控制WEB访问的协议，所以必须要用扩展列表，也就是说，编号要在100-199之间。这些关于访问列表的基础知识，请参考其他关于Cisco或者CCNA的基础文档。我们定义了这个时间范围名称是http，这样，我们就在列表中的最后一句方便的引用了。有了以上的详细讲解，这个很好看懂了。我们再看下面一个例子。
　　
　　例2：网络结构同上例，现在假设我们的访问要求变了，服务器WEB2（IP：202.222.100.100）上放着的是新年贺岁版的公司主页，我们希望在2001年12月31日24：00点前，Internet的用户访问的是服务器WEB1（IP：202.111.170.50）上的主页内容，而不能访问WEB2上的内容。在此之后的新年里，访问的是新年版主页而不能访问旧版本的主页。那么，我们利用带有时间控制的访问列表来自动实现这个功能，而再也不用让网管员在新年半夜时手动删除了。列表内容如下：
　　
　　Router# config t
　　Router(config)#interface serial 0
　　Router(config-if)#ip access-group web in
　　Router(config-if)#
　　time-range changewebabsolute end 24:00 31 December 2000
　　Router(config-if)#ip access-list extended web
　　permit tcp any host 202.111.170.50 eq 80 changeweb
　　deny tcp any host 202.222.100.100 eq 80 changeweb
　　permit tcp any host 202.222.100.100 eq 80
　　
　　现在让我们分析一下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表web，并且是用在Serial 0的入口方向，就是数据流入路由器的时候做协议控制分析。第三句，定义一个时间范围名称是changeweb。第四句是定义扩展名称访问列表web。第五、六句是表示在新年前，只能允许访问WEB1。第七句是允许所有到WEB2的web访问。这样第七句不是在没有时间限制的情况下全部允许了WEB2的访问吗？那我们的目的是如何实现的呢？不要忘记，路由器中访问控制列表的每个表项的顺序是很重要的，它是从上到下执行的，这样，在新年之前，也就是第五、六句起左右的时候，访问WEB2的要求已经被禁止了，所以，第七句就没有用了，而在新年之后呢，第五、六句失效了，第七句才发挥它的作用。允许所有对WEB2的访问请求，那么，新年之后，还能访问WEB1服务器吗？当然不能，因为我们第七句只允许访问WEB2，隐含的意思就是，其余的全部禁止。
　　
　　好了，看到这儿，你不是觉的你的想法都被CISCO路由器实现了？合理有效的利用基于时间的访问控制列表，可以更有效、更安全、更方便的保护我们的内部网络。这样你的网络才会更安全，网络管理员也会更轻松！
　　

上一页

1

2

本文来源：天下网吧 作者：网吧方案