Access-List за часом (Timed Access-List)

timed
Сьогодні я розповім про те, як за допомогою обладнанняCisco Systems дозволити користувачеві доступ, скажімо до мережі інтернет, у певний час.

Допустимо у нас є мережа, що складається з комутатора, до якого підключені користувачі і комутатор підключений до когосьроутера cisco (абоcisco asa ), який ми власне і налаштовуватимемо, для того щоб обмежити доступ хостам в інтернет за допомогою тимчасовихACL.

Користуватись тимчасовими ACL досить просто. Для початку нам необхідно створити часовий діапазон, він жеtime-range. Допустимо ми дозволимо користувачеві доступ в інтернет на час робочого дня, з 8-00 до 17-00, на решту часу ми заблокуємо, ну мало, може хтось захоче поставити закачування на ніч або всіма улюблений торрент.

Отже, створюємо time-range, правило буде описувати коли не можна отримати доступ, все що не описано, відповідно можна:

У режимі глобальної конфігурації:

Переходимо в режим редагування часових інтервалів:

periodic daily 00:00 to 07:59 periodic daily 17:00 to 23:59 periodic weekend 00:00 to 23:59

Звідси ми бачимо, що ми не описали часовий інтервал з 8 години ранку до 17 години вечора. Тобто, весь наш робочий день. У третьому правилі говоримо, що у вихідні дні доступу немає взагалі. (weekend - субота, неділя).

Можна обійтися і двома записами, замість daily використовувати: weekdays (тільки робочі дні: понеділок — п'ятниця)

periodic weekdays 00:00 to 07:59 periodic weekdays 17:070 to 23:59

Також можна вказувати конкретні дні тижня.

INTERNET
Таким чином ми можемо створювати досить гнучкі часові інтервали.

Після того якми створили time-range, його необхідно створити загальний доступ ACL, нехай у нашому випадку він виглядає так:

access-list INTERNET deny ip host 10.10.10.2 any time-range NO-INTERNET access-list INTERNET deny ip host 10.10.10.3 any time-range NO-INTERNET access-list INTERNET permit ip host any any

У моєму випадку використовується Cisco ASA, на маршрутизаторах cisco трохи інакше (відрізняється тільки синтаксис злегка):

ip access-list extended INTERNET денний ip host 10.10.10.2 any time-range NO-INTERNET deny ip host 10.10.10.3 any time-range NO-INTERNET

Ось прості ACL, природно ви робите свої, які вам необхідні. Це лише приклад 🙂

Отже, time-range створено, загальний ACL створено. Тепер залишається його прив'язати до інтерфейсу. Давайте прив'яжемо його до inside (інтерфейс який «дивиться» в локальну мережу, де знаходиться наші хости: 10.10.10.2 і 10.10.10.3) на in.(вхідний трафік). Знову ж таки, є деякі відмінності як це зробити в маршрутизаторах і ASA пристроях.

У Cisco ASA це робиться за допомогою access-group у режимі глобальної конфігурації:

access-group INTERNET in interface inside

У маршрутизаторах це налаштування знаходиться безпосередньо на інтерфейсі:

Заходимо в налаштування інтерфейсу (в режимі глобальної конфігурації, звичайно ж):

conf t interface f0/1 ip access-group INTERNET in

Ось, власне, і все. Ми налаштували доступ наших користувачів до Інтернету залежно від часу.