Настройка списков доступа с учетом времени на маршрутизаторе Cisco [06.03.2007]

В маршрутизаторах Cisco временным можно сделать список доступа для протокола IP или IPX – нумерованный или именованный. Для составления временного списка сначала необходимо определить диапазон времени, а затем сделать сослаться на него в access-list’е, используя команду time-range. Интервал времени может быть абсолютным (absolute) или периодическим (periodic) - в последнем случае он может состоять из нескольких временных интервалов. Пример задания временного списка доступа:

time-range [имя_диапазона]
absolute [[start] time date] [end time date]
periodic [дни недели] hh:mm to [дни недели] hh:mm

time - вводится в 24-часовом формате, с ведущим нулем, если часы или минуты меньше 10.
date - вводится в формате: ДД.ММ.ГГГГ, для периодических временных списков доступа в качестве параметров используются дни недели. Допустимыми аргументами являются: один день недели, например Monday, или сразу несколько дней через and - Saturday and Sunday (суббота и воскресенье). Можно использовать параметры, указывающие сразу на несколько дней - daily (все дни недели), weekdays (рабочие дни) или weekend (выходные дни). В списке доступа можно использовать только один абсолютный временной интервал, но периодических интервалов может быть несколько.

Для правильной работы списков доступа необходимо настроить часы маршрутизатора соответствующим образом, для чего рекомендуем настроить получение правильного времени с сервера по NTP (Network Time Protocol). Если используется одновременно абсолютный и периодический временной интервалы, то периодический интервал начнет действовать только после начала абсолютного и перестанет действовать после его окончания. Если начальное время абсолютного временного периода не указано, то он начнет действовать сразу после его определения. Если конечное время не зафиксировано, то такой временной интервал будет длиться бесконечно. И еще - временной список доступа нужно применять на интерфейсе, наиболее близком к источнику фильтруемого трафика.

Рассмотрим пример: необходимо ограничить доступ в Интернет, подключенный через интерфейс Serial0, в зависимости от времени суток для клиентов из двух сегментов сети, подключенных к интерфейсам FastEthernet0/0 и FastEthernet0/1. Сотрудникам, которые находятся в сети 192.168.0.0 (FastEthernet0/0) разрешено пользоваться Интернет в рабочие дни во время обеденного перерыва (с 13:00 до 14:00), начиная с 1 января 2007 г и далее, окончание периода действия правила не определено.

interface FastEthernet0/0
  ip access-group 101 in
  time-range AllowInternet
  absolute start 00:01 1 January 2007
  periodic weekdays 13:00 to 14:00

ip access-list 101 permit tcp any any eq 80 time-range AllowInternet

Используем нумерованный расширенный список доступа номер 101 для протокола IP.
Разрешаем прохождение TCP пакетов, содержащих данные протокола HTTP, на все адреса (permit tcp any any eq 80). Задаем имя временного интервала - time-range AllowInternet.

Созданный список доступа применим на интерфейс FastEthernet0/0, все входящие поключения, используя команду ip access-group 101 in. Укажем временной интервал (time-range AllowInternet) и укажем параметры временного диапазона. Первая команда (absolute start 00:01 1 January 2007) указывает на то, что действие списка доступа начинается 1 января 2007 г. в 00:01. Дата окончания действия не указана, следовательно, список доступа будет действовать до тех пор, пока не будет удален. Вторая команда (periodic weekdays 13:00 to 14:00) задает периодические временные параметры. Эта команда указывает, что временной диапазон действует во все рабочие дни недели с 13:00 до 14:00. Периодический временной интервал начнет действовать только после начала абсолютного и перестанет действовать после его окончания. Можно добавить еще несколько периодических интервалов и разрешить доступ в Интернет еще в какое-либо время. В соответствии с правилом "что не разрешено, то запрещено" будет запрещена и работа других протоколов, которые при необходимости нужно дополнительно разрешить. Например, можно разрешить доступ по протоколу FTP, открыв в дополнение к 80 порты 20 и 21.

Рассмотрим еще один пример, описывающий доступ к корпоративному Intranet-web-серверу. В сети 192.168.0.0 установлен web-сервер с IP-адресом 192.168.0.100, доступ к которому должен быть разрешен только пользователям из сети 192.168.1.0 (подключенным к интерфейсу FastEthernet0/1) и только по рабочим дням с 9:00 до 18:00. Правило вступает в действие сразу же после его создания и действует до конца года. Временной список доступа будет выглядеть следующим образом:

interface FastEthernet0/l
   ip access-group 102 in
   time-range AllowIntranet
   absolute end 24:00 31 December 2007
   periodic weekdays 09:00 to 18:00

ip access-list 102 permit tcp any host 192.168.0.100 eq 80 time-range AllowIntranet

Access-list 102 разрешает доступ с любого адреса на адрес 192.168.0.100 во временном промежутке, заданном временным диапазоном AllowIntranet только по 80 порту протокола TCP (данные HTTP). Далее назначим этот access-list для фильтрации входящего (in) потока данных на интерфейсе FastEthernet0/1. Для абсолютного интервала не задаем время начала - тогда он начинает действовать сразу же после назначения на интерфейс. Периодический же интервал описывает рабочие дни (weekdays) с 9:00 до 18:00.