思科配置ACL的生效时间段

小乔

在Cisco设备上配置ACL（访问控制列表）时，你可以指定时间段来控制何时该ACL生效。这在管理网络访问权限和时间相关的策略时非常有用，例如，限制特定时间段内的网络访问。Cisco设备使用扩展访问控制列表（Extended ACL）或命名访问控制列表（Named ACL）来实现这一功能。

1. 使用时间范围（Time Range）
首先，你需要在Cisco设备上定义一个时间范围（Time Range），然后在ACL中使用这个时间范围。以下是步骤：

步骤1: 定义时间范围
使用time-range命令来定义一个时间范围。例如，定义一个名为workhours的时间范围，从周一到周五的9:00到17:00：

time-range workhours
periodic daily 09:00 to 17:00 weekdays
exit
步骤2: 应用时间范围到ACL
一旦定义了时间范围，你可以在ACL中使用它。例如，创建一个扩展ACL来允许在工作时间段内访问特定的IP地址：

ip access-list extended WORKTIME_ACCESS
permit ip any host 192.168.1.10 time-range workhours
deny   ip any any
这个ACL允许在workhours时间段内从任何源IP地址到目的IP地址192.168.1.10的IP流量。其他时间的所有IP流量都被拒绝。

2. 直接在接口上配置时间段
在某些情况下，你可能希望直接在接口上配置时间段来控制ACL的生效时间。这可以通过在接口配置模式下使用service-policy来实现，前提是你已经定义了适当的时间范围和策略映射：

步骤1: 定义策略映射和策略
首先，定义一个策略映射（Policy Map）和策略（Class Map），在其中引用之前定义的时间范围：

policy-map TIME_POLICY
class class_workhours
  match time-range workhours
  set connection ingress-only
exit-class
exit-policy-map
步骤2: 将策略应用到接口
然后，将这个策略应用到接口上：

interface GigabitEthernet0/1
service-policy input TIME_POLICY
exit
这样，只有当时间在workhours时间段内时，通过接口GigabitEthernet0/1的流量才会受到策略的影响。

总结
通过以上步骤，你可以在Cisco设备上配置ACL，使其只在特定时间段内生效。这提供了灵活的网络访问控制，可以根据实际业务需求调整网络策略。确保在实施前充分测试配置，以避免不必要的中断。

mawr1985

welinker448