时间访问列表

访问列表的主要应用是数据包过滤。如果其中一个条件匹配，它将被执行，并且不再匹配其他条件。它是一系列顺序的、不同的允许或拒绝标准。此外，它以隐式拒绝结尾，因此规则至少应包含一个允许条件。

访问列表类型包括：

• 标准访问列表
• 基于时间的访问列表，
• 命名访问列表，
• 扩展访问列表，以及
• 反射访问列表。

但在本节中，我们将讨论基于时间的访问列表。

时间访问列表 -

基于时间的访问列表是一种特殊的访问列表，它根据时间间隔来控制网络访问。当您希望根据一天中的特定时间或一周中的特定日期来限制出站或入站流量时，它很有用。

例如，假设我们希望在工作时间内限制互联网访问，但在午餐时间允许。在这种情况下，我们可以使用基于时间的访问列表来阻止互联网访问。

在 Cisco IOS 软件版本 12.0.1.T 中，引入了基于时间的 ACL，以实现基于时间的访问控制。虽然可以使用路由器时钟，但建议使用 NTP（网络时间协议）同步。

时间访问列表的工作原理 -

使用基于时间的访问列表有一个简单的过程：

• 定义时间范围 - 首先，我们必须定义一个时间范围，可以使用 absolute 或 periodic 关键字来指定。
  • absolute： 指定一个具体的时间。例如，如果我们希望在星期二到星期五之间限制到某个子网的 ICMP 流量（绝对时间），我们将使用 absolute 关键字。
  • periodic： 指定一个时间间隔。例如，如果我们希望在工作日的每一天（星期一到星期五）阻止某个子网的 ICMP 流量，我们可以使用 periodic 关键字。
• 定义一个访问列表 - 在下一步中，我们将定义一个访问列表，我们将把我们的时间范围应用于它。
• 将访问列表应用于接口 - 根据我们的需求，现在我们将访问列表应用于接口或 line-vty。

配置 -

有一个简单的拓扑，包括 PC1（ip 地址 10.1.1.2/24）、路由器（fa0/0 上的 ip 地址 10.1.1.1/24 和 fa0/1 上的 ip 地址 10.1.2.1/24）、PC2（ip 地址 10.1.2.2/24）以及两个交换机 Sw1 和 Sw2，所有端口都在 vlan 1 中。我们可以看到，在配置这些之后，PC1 可以 ping PC2。

在本场景中，我们将拒绝 PC1 在指定的时间范围内 ping PC2 的能力，然后将此时间范围应用于访问列表。最后，我们将将其应用于路由器接口。此外，我们知道它与 NTP 配合效果最好，但在本例中，我们将使用路由器的本地时钟。

我们可以通过发出以下命令来查看路由器的时钟：

我们也可以使用以下命令更改时钟时间：

现在，我们将通过首先指定 PC1 在 PC2 可以 ping PC1 之前需要被阻止的时间来定义时间范围。

时间流的名称是 time-range（可以给任何名称）。我们给出了 7 月 1 日 00:15 到 00:20 的时间范围。
此处演示了 absolute 关键字的用法。

如果场景需要周期性时间跨度，则可以表示为：

在这种情况下，periodic 是时间范围的名称。第二个命令表明，从 0:15 到 0:20，ping 从 10.1.1.2 到 10.1.2.2 将在所有工作日（星期一至星期五）被禁止。（在我们按照进一步说明将此时间范围应用于访问列表，然后将访问列表应用于接口之后）。

定义一个名为 Time acl 的扩展访问列表，它将在我们指定的时间范围内允许 ICMP 流量通过路由器。

现在，我们将此访问列表应用于路由器的出站接口 fa0/1，以在我们定义的时间范围（时间流）内拒绝流量。

我们将无法在我们设定的时间范围内 ping 通 10.1.2.2。

优点 -

• 易于实现
• 它为管理员提供了对流量的更多控制，因为流量可以根据时间被拒绝或允许。