📌  相关文章
📜  基于时间的访问列表

📅  最后修改于: 2022-05-13 01:57:03.379000             🧑  作者: Mango

基于时间的访问列表

先决条件 - 访问列表 (ACL)
访问列表主要用于包过滤。它是一系列不同的允许或拒绝条件,如果其中一个条件匹配,则执行它,并且不再匹配其他条件。此外,它最后包含一个隐式拒绝,因此规则应该至少有一个允许条件。
访问列表有多种类型,例如:

  • 标准访问列表,
  • 扩展访问列表,
  • 自反访问列表,
  • 命名访问列表,
  • 基于时间的访问列表等

    但在这里,我们将讨论基于时间的访问列表。

    基于时间的访问列表 –
    基于时间的访问列表是允许基于时间段进行网络访问的访问列表类型。当您想根据一天中的特定时间或特定日期对出站或入站流量进行限制时,它很有用一周。

    例如,如果我们想拒绝员工在工作时间访问 Internet,并允许在午餐时间访问。在这类场景中,我们可以实现基于时间的访问列表拒绝访问 Internet。

    Cisco IOS 软件版本 12.0.1.T 中引入了基于时间的 ACL。允许基于时间的访问控制。它最适用于 NTP(网络时间协议)同步,但可以与路由器时钟一起使用。

    程序 -
    要应用基于时间的访问列表,有一个简单的过程:

    1. 定义时间范围——首先,我们必须定义一个时间范围,可以在关键字absolute或periodic的帮助下定义时间范围。
      absolute:定义一个绝对时间。例如,如果我们想阻止从周二到周五(绝对时间)到子网的 ICMP 流量,那么我们将使用 absolute 关键字。
      周期:定义周期时间。例如,如果我们想在每个工作日(周一到周五)阻止特定子网上的 ICMP,那么我们可以使用 period 关键字。
    2. 定义访问列表——在下一步中,将定义一个访问列表,我们将在其中应用我们的时间范围。
    3. 将访问列表应用到接口——现在,访问列表将根据我们的需要应用到接口或 line-vty。

    配置 -

    有一个简单的拓扑,其中有 PC1(ip 地址 - 10.1.1.2/24),路由器(fa0/0 上的 ip 地址 -10.1.1.1/24 和 fa0/1 上的 10.1.2.1/24),PC2(ip address-10.1.2.2/24) 和两个交换机,即 Sw1 和 Sw2,所有端口都在 vlan 1) 中。配置完这些,我们可以看到PC1可以ping通PC2了。

    在这种情况下,我们将拒绝 PC1 在定义的时间范围内 ping PC2,然后我们将此时间范围应用于访问列表。最后,我们将把它应用到路由器的接口上。此外,我们知道它最好与 NTP 一起使用,但在这里我们将使用路由器的本地时钟。

    我们可以通过命令查看路由器的时钟: 

    router#show clock

    此外,我们可以通过命令更改时钟时间: 

    router#clock set 0:10:0 1 July 2018

    现在,我们将首先定义时间范围,指定我们想要阻止 PC1 ping PC2 的时间。 

    router(config)#time-range time_flow
router(config)#absolute start 00:15 1 July 2018 
                end 00:20 1 July 2018

    time_flow 是时间范围的名称(可以给出任何名称)。我们提供了 7 月 1 日 00:15 到 00:20 的时间范围。
    在这里,已经显示了绝对关键字的使用。

    如果某些场景需要周期性的时间范围,那么它可以显示为: 

    router(config)#time-range Periodic
router(config)#periodic weekdays 0:15 to 0:20

    这里,Periodic 是时间范围的名称。第二个命令意味着在每个工作日(星期一到星期五)从 0:15 到 0:20,从 10.1.1.2 到 10.1.2.2 将不允许 ping(在我们将此时间范围应用于访问列表然后将访问列表应用于接口,如进一步描述)。

    定义一个名为 Time_acl 的扩展访问列表,我们将允许 ICMP 流量在我们定义的时间范围内通过路由器。 

    router(config)#ip access-list extended Time_acl
router(config-ext-nacl)#deny icmp host 10.1.1.1 host 
                      10.1.2.2 time-range time_flow

    现在,我们将把这个访问列表应用到路由器在出站方向的接口 fa0/1 上,以拒绝我们定义的时间范围(time_flow)内的流量。 

    router(config)#int fa0/1
router(config-if)#ip access-group Time_acl out

    通过应用这个,我们将无法在我们定义的时间范围内 ping 10.1.2.2。

    好处 -

    • 易于实施
    • 它为管理员提供了对流量的更大控制,因为可以根据时间拒绝或允许流量。