基于时间的ACL是ACL的一种拓展,把时间的概念引入ACL后可以更具设置的时间段或者时间周期来控制ACL..
分为两种:1、某时间段内生效,比如某年的某月的某日的某个时间范围生效
2、周期性的生效,比如某星期的周一到周五的那个世间范围内生效
session 2 配置
实验拓扑2台路由器和一台PC
实验目标:在某个时间段内让internet无法ping通PC
int f0/0 192.168.1.1 ----- PC 10.0.0.2
1、设置系统时间,这个时间是ACL的参照很重要
R2#clock set 18:12:46 27 oct 2015 设置系统时间为2015.10.27 18:12:46
2、启用time-rang
R2(config)#time-range icmp 名称为icmp
R2(config-time-range)#absolute start 18:04 27 October 2015 end 18:05 27 October 2015
设置时间段为2015.10.27 18:04 到 2015.10.27 18:05
3、设置ACL并给ACL添加time-rang属性使ACL基于时间来执行
R2(config)#access-list 100 deny icmp any any time-range icmp
R2(config)#access-list 100 permit ip any any time-range icmp
R2(config-if)#ip access-group 100 in 在f0/0接口的入方向应用基于时间的ACL
完成配置
session 3 测试结果
效果:在2015.10.27 18:04 到 2015.10.27 18:05的时间段内,internet将无法ping通PC2但是可以telnetPC,因为telnet是tcp流量。
查看结果
1、在设置的时间内,internet没有ping通PC2,但是telnet却可以打开23端口,密码没有所以建立会话。
R2#show clock
18:05:21.483 UTC Tue Oct 27 2015
internet#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
internet#telnet 10.0.0.2
Trying 10.0.0.2 ... Open
Password required, but none set
[Connection to 10.0.0.2 closed by foreign host]
2、在设置的时间外,internet可以ping通PC2,telnet也可以打开23端口,密码没有所以建立会话。
R2#show clock
18:07:46.483 UTC Tue Oct 27 2015
internet#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/19/20 ms
internet#telnet 10.0.0.2
Trying 10.0.0.2 ... Open
Password required, but none set
[Connection to 10.0.0.2 closed by foreign host]
测试成功。
补充:
R2(config)#time-range icmp
R2(config-time-range)#periodic weekdays 8:30 to 17:30 设置时间段为一周内周一到周五的8:30到17:30分
time-range的生效时间其实是比set clock的时间晚一分钟的,cisco设定的。所以上面实验中:
2015.10.27 18:04 到 2015.10.27 18:05的时间段内真实生效时间为 2015.10.27 18:05 到 2015.10.27 18:06