时间访问列表

访问列表的主要应用是数据包过滤。如果满足其中一个条件，则执行该条件并且不再匹配其他条件。它是一个按顺序排列的不同允许或拒绝准则集合。此外，它以隐式拒绝结束，因此规则应至少包含一个允许条件。

访问列表的类型包括

• 标准访问列表
• 基于时间的访问列表，
• 命名的访问列表，
• 扩展访问列表，和
• 反射访问列表。

但在本节中，我们将讨论基于时间的访问列表。

时间访问列表 –

基于时间的访问列表是一种特殊的访问列表，根据时间间隔来控制网络访问。当您希望根据一天中特定的时间或一周中特定的日期对出站或入站流量进行限制时，它非常有帮助。

例如，假设我们希望在工作时间内限制互联网访问，但在午餐时间允许访问。我们可以使用基于时间的访问列表来阻止这些情况下对互联网的访问。

在Cisco IOS软件版本12.0.1.T中引入了基于时间的ACL，以实现基于时间的访问控制。虽然可以使用路由器时钟，但建议使用NTP（网络时间协议）同步。

时间访问列表的工作原理 –

使用基于时间的访问列表有一个简单的步骤：

• 定义时间范围 – 首先，我们必须定义一个时间范围，可以使用绝对或周期性关键字进行指定。
  • 绝对： 指定一个具体的时间。例如，如果我们想要从周二到周五（绝对时间）限制对子网的ICMP流量，我们将使用绝对关键字。
  • 周期性： 指定一个时间间隔。例如，如果我们想要在每个工作日（周一到周五）对特定子网上的ICMP进行阻止，我们可以使用周期性关键字。
• 定义访问列表 – 在接下来的步骤中，我们将定义一个访问列表，并将时间范围应用于该列表。
• 应用访问列表 到接口 – 访问列表现在将根据我们的需求应用于接口或line-vty。

配置 –

有一个简单的拓扑结构，包括PC1（IP地址10.1.1.2/24），路由器（fa0/0上的IP地址为10.1.1.1/24，fa0/1上的IP地址为10.1.2.1/24），PC2（IP地址10.1.2.2/24）和两个交换机Sw1和Sw2，所有端口都在vlan 1中。我们可以看到，在配置这些之后，PC1可以ping通PC2。

在这个场景中，我们将拒绝PC1在指定的时间范围内对PC2进行ping操作，然后将这个时间范围应用到访问列表上。最后，我们将这个访问列表应用到一个路由器接口上。此外，我们知道它与NTP配合效果最好，但在这种情况下，我们将使用路由器的本地时钟。

我们可以通过发出以下命令来查看路由器的时钟：

router#show clock

我们还可以使用以下命令来更改时钟时间：

router#clock set 0:10:0 1 July 2018 

现在，我们将定义一个时间范围，首先指定我们希望PC1被阻止的时间，以便PC2可以ping通PC1。

router(config)#time-range time_flow
router(config)#absolute start 00:15 1 July 2018 
     end 00:20 1 July 2018

时间流的名称是时间范围（可以给予任何名称）。我们给出了2022年7月1日00:15至00:20的时间范围。 这里演示了使用绝对关键词。

如果一个场景需要一个周期性的时间跨度，可以表示为：

router(config)#time-range Periodic
router(config)#periodic weekdays 0:15 to 0:20

这种情况下，Periodic是时间范围的名称。第二个命令指示从10.1.1.2到10.1.2.2的ping在所有工作日（星期一至星期五）的0:15到0:20之间将被禁止。（之后我们将此时间范围应用于访问列表，然后将访问列表应用于接口，如后面所述）。

定义一个名为Time acl的扩展访问列表，在我们指定的时间范围内允许ICMP流量通过路由器。

router(config)#ip access-list extended Time_acl
router(config-ext-nacl)#deny icmp host 10.1.1.1 host 
    10.1.2.2 time-range time_flow

现在，我们将把这个访问列表应用到路由器的出接口fa0/1上，以便在我们定义的时间范围内（时间流）拒绝流量。

router(config)#int fa0/1
router(config-if)#ip access-group Time_acl out

将来我们将无法在我们设定的时间范围内ping通10.1.2.2。

好处-

• 实施简单
• 它使管理员能够更好地控制流量，因为可以根据时间进行拒绝或允许。