訪問控制表(ACL)實際上是在路由器或三層交換機上實現的根據數據報文的內容進行的過濾行為。路由器或者三層交換機根據報文的特征以及ACL中所定義的策略,決定將該報文進行轉發或者丟棄。常用的訪問控制表通常是根據IP數據包的源地址、目標地址、協議類型等來進行配置,本文將介紹另外一種訪問控制表:基於時間的訪問控制表。
基於時間的訪問控制表可以根據一天中的不同時間或一星期中的不同日期、或二者相結合來控制網絡數據包的轉發。這種基於時間的訪問控制表,就是在原來的標准訪問控制表和擴展訪問控制表中,加入有效的時間范圍來更合理有效地控制網絡。首先定義一個時間范圍,然後在原來的各種訪問列表的基礎上應用它。
基於時間訪問列表的設計中,用time-range命令來指定時間范圍的名稱,然後用absolute命令,或者一個或多個periodic命令來具體定義時間范圍。命令格式為:
time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm
下面分別介紹每個命令和參數的詳細情況。
time-range:
用來定義時間范圍的命令。
time-range-name:
時間范圍名稱,用來標識時間范圍,以便於在後面的訪問列表中引用。
absolute:
該命令用來指定絕對時間范圍。它後面緊跟著start和end兩個關鍵字。在這兩個關鍵字後面的時間要以24小時制hh:mm表示,日期要按照日/月/年來表示。如果省略start及其後面的時間,則表示與之相聯系的permit或deny語句立即生效,並一直作用到end處的時間為止。如果省略end及其後面的時間,則表示與之相聯系的permit或deny語句在start處表示的時間開始生效,並且一直進行下去。
periodic
主要是以星期為參數來定義時間范圍的一個命令。它的參數主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一個或者幾個的組合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
下面以一個實例來說明基於時間的訪問控制表的使用方法。