我們知道,隨著網絡的發展和用戶要求的變化,從Cisco.chinaitlab.com/" target="_blank">Cisco IOS12.0 開始,CISCO 路由器新增加了一種基于時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,當然也可以二者結合起來,控制對網絡數據包的轉發,實現對網絡的安全保護。

    二、使用方法

    這種基于時間的訪問列表就是在原來的標準訪問列表和擴展訪問列表中加入有效的時間范圍來更合理有效的控制網絡。它需要先定義一個時間范圍,然后在原來的各種訪問列表的基礎上應用它。并且,對于編號訪問表和名稱訪問表都適用。

    三、使用規則

    用time-range命令來指定時間范圍的名稱,然后用absolute命令或者一個或多個peri-odic命令來具體定義時間范圍。IOS 命令格式為:time-range time-range-name abso-lute [start time date] [end time date] pe-riodic days-of-the week hh:mm to [days-of-the week] hh:mm我們分別來介紹下每個命令和參數的詳細情況time-range:用來定義時間范圍的命令time-range-name:時間范圍名稱,用來標識時間范圍,以便于在后面的訪問列表中引用absolute:該命令用來指定絕對時間范圍。它后面緊跟這start和 end兩個關鍵字。 在這兩個關鍵字后面的時間要以24 小時制、hh:mm(小時:分鐘)表示,日期要按照日/ 月/ 年來表示。可以看到,他們兩個可以都省略。如果省略start及其后面的時間,那表示與之相聯系的permit 或deny語句立即生效,并一直作用到end 處的時間為止;若省略如果省略end及其后面的時間,那表示與之相聯系的permit或deny語句在start處表示的時間開始生效,并且永遠發生作用,當然把訪問列表刪除了的話就不會起作用了。

    periodic:主要是以星期為參數來定義時間范圍的一個命令。它的參數是Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一個或者幾個的組合,也可以是daily(每天)、  weekday(周一到周五)或者weekend(周末)。注意:一個時間范圍只能有一個absolute語句,但是可以有幾個periodic語句。現在我們來看幾個例子。

   (1)如果要表示每天的早8點到晚5點就可以用這樣的語句:
    absolute start 8:00 end 17:00

   (2)我們要使一個訪問列表從2003年1月1日早1點開始起作用,直到2003年1月31日晚24 點停止作用,語句如下:absolute start 1:00 1 January 2003end 24:00 31 January 2003

   (3)表示每周一到周五的早9點到晚10點半,periodic weekday 9:00 to 22:30;我們已經知道如何定義時間范圍,這樣一來,我們就可以用這種基于時間的訪問列表來實現網絡的安全控制,而不用半夜跑到辦公室去刪除那個訪問列表了。這對于網絡管理員來說,是個很好的事情。下面讓我們看看如何在實際情況下應用這種基于時間的訪問列表S1

　　192.168.1.0 E0
　　交換機
　　Internet
　　E1 192.168.2.0 E1
　　交換機

    四、 應用實例

    在如上圖所示的網絡中,路由器有兩個以太網接口E0 和E1,分別連接著192.168.1.0和192.168.2.0 兩個子網絡。還有一個串口
    S1,連入Internet。為了讓192.168.1.0 子網公司員工在工作時間(每周一到周五的早8點到晚5 點)不能進行WEB 瀏覽,只有在下班時間才可以通過公司的網絡訪問Internet(這樣就不用擔心某些人上班時間偷著聊天了)。而對192.168.2.0 子網的公司員工不作上網限制,我們來做如下的基于時間的訪問控制列表來實現這樣的功能:
    Router# config t
    Router(config)# interface ethernet 0 進入端口控制模式
    Router(config-if)#ip access-group 101 in
    Router(config-if)#time-range http
    Router(config-if)# periodic weekday 8:00 to 5:00;
    Router(config-if)#ip access-list 101  permit tcp any any eq 80 http
    我們只需在一個擴展訪問列表的基礎上再加上時間控制就達到了目的。因為是要控制WEB 訪問的協議,所以必須要用擴展列表,也就是說,編號要在100-199 之間。在第四句我們定義了這個時間范圍名稱是http,這樣,我們就可以在列表中的最后一句方便的引用了。

    通過上面的方法,我們可以方便地利用路由器基于時間的訪問控制列表,實現內部網絡用戶對INTERNET 的訪問控制,從而有效地保護我們的內部網絡。