Cisco ASR路由器与ASA防火墙查看time-range是否有效
Cisco Router or ASA firewall创建ACL时可以指定到期时间,
使用的是time-range
1 比如1条策略要指定有效期至 2023年12月31日
1.1 创建time-range
time-range 20231231
absolute end 23:59 31 December 2023
1.2 在ACL条目后挂载time-range
ip access-list out-in extend permit ip host 10.248.1.1 any time-range 20231231
2 如何查看time-range是否到期
比如有下面这些time-range
time-range 20231231
time-range 20330430
time-range 20230428
time-range 20280224
time-range 20230303
time-range 20230831
查看命令为show time-range <名称>
inactive: 已经过期
active:还在有效期
ASR1002-02#show time-range 20231231
time-range entry: 20231231 (inactive)
absolute end 23:59 31 December 2023
ASR1002-02#show time-range 20330430
time-range entry: 20330430 (active)
absolute end 23:59 30 April 2033
used in: IP ACL entry
ASR1002-02#show time-range 20230428
time-range entry: 20230428 (inactive)
absolute end 23:59 28 April 2023
ASR1002-02#show time-range 20280224
time-range entry: 20280224 (active)
absolute end 23:59 24 February 2028
used in: IP ACL entry
ASR1002-02#show time-range 20230303
time-range entry: 20230303 (inactive)
absolute end 23:59 03 March 2023
ASR1002-02#show time-range 20230831
time-range entry: 20230831 (inactive)
absolute end 23:59 31 August 2023
为何要查看
在1次梳理设备的ACL时,要删除所有过期的条目 ,结果由于看错,导致误删除了time-range仍然active的策略,导致业务中断。
如果在操作前的梳理中,能提前将所有涉及的time-range确认是否active,就不会发生这次事故。