第5章基于时间的访问表
本章讨论C i s c o访问表的一个相对新一些的特征,这个新特征可以基于时间段(一天中的
某段时间,一个星期中的某几天,或两者兼而有之)来实现访问表。第1章中提到过,在I O S
版本1 2 . 0以前,没有什么简单的方法可以基于时间或日期来改变访问表。当然,可以建立多
个访问表,将其存储在路由器中,在星期五的晚上移去一个已存在的访问表,并应用一个新
的替代者,但这毕竟不是一种吸引人的方法。同样,在星期一的一大早就要赶到办公室来进
行相反的过程也令人难受。C i s c o从I O S版本1 2 . 0开始引入基于时间的访问表,这类访问表解
决了这个问题。与其他特征不一样,基于时间的访问表被所有的Cisco IOS平台所支持。
我们将首先对本章的理论基础进行一个概述,然后讲述几个配置示例。最后,我们将给
出一系列的基于时间的访问表的示例。
5.1 理论基础
使用基于时间的访问表的主要目的是根据一天中的不同时间,或者根据一星期中的不同
天,或者二者的结合,来控制对网络资源的访问。基于时间的访问表允许网络管理员对流入
网络和流出网络的数据进行附加的控制。网络管理员对周末或工作日中的不同时间段定义不
同的安全策略。另外,这种基于时间的数据流过滤实现方法使得网络管理员对组织中的策略
和过程更具有敏感性。例如,某些组织可能希望所有的或特殊的雇员在通常的业务时间之后
可以进行We b冲浪。基于时间的访问表使得满足组织的这种需求变得容易。基于时间的访问
表的另一个示例是在不同的时间段内通过服务类型( type of service, TO S)域改变数据流。读
者还可以使用基于时间的访问表来控制日志消息,以记录不同时间段的行为。这样,基于时
间的访问表提供了一种改变报文过滤的机制,它能够满足公司的某些需要。
5.2 概述
基于时间的访问表对于编号访问表和命名访问表都适应。实现基于时间的访问表只需要
两个简单的步骤。首先,要定义一个时间范围。定义完时间范围之后,就可以在访问表中用
t i m e -范围引用时间范围。
5.2.1 定义时间范围
定义时间范围又分为两个步骤。首先,要使用t i m e - r a n g e命令来正确地指定时间范围。然
后,需要使用a b s o l u t e或者一个或多个p e r i o d i c语句来定义时间范围。其I O S命令的格式如下:
此处,各域的意义如下:
t i m e - r a n g e - n a m e 用来标识时间范围的,以便在访问表中进行引用的名称。
第5章基于时间的访问表49
下载
t i m e 以小时和分钟方式( h h : m m)输入的时间。
d a t e 以日/月/年方式输入的日期。
d a y s - o f
