Сегодня я расскажу о том, как с помощью оборудования Cisco Systems разрешить пользователю доступ, скажем к сети интернет, в определенно время.
Допустим у нас есть сеть, состоящая из коммутатора, к которому подключены пользователи и коммутатор подключен к некому роутеру cisco (либо cisco asa), который мы собственно и будем настраивать, для того чтобы ограничить доступ хостам в интернет с помощью временным ACL.
Пользоваться временными ACL достаточно просто. Для начала нам необходимо создать временной диапазон, он же time-range.
Допустим мы разрешим пользователю доступ в интернет на время рабочего дня, с 8-00 до 17-00, на все остальное время мы заблокируем, ну мало ли, может кто-то захочет поставить закачку на ночь или всеми любимый торрент.
Итак, создаем time-range, правило будет описывать когда нельзя получить доступ, все что не описано, соответственно — можно:
В режиме глобальной конфигурации:
time-range NO-INTERNET
Переходим в режим редактотирование временных интервалов:
periodic daily 00:00 to 07:59
periodic daily 17:00 to 23:59
periodic weekend 00:00 to 23:59
Отсюда мы видим, что мы не описали временной интервал с 8 часов утра до 17 часов вечера. То есть весь наш рабочий день.
В третьем правиле говорим что по выходным дням доступа нет вобще. (weekend — суббота, воскресенье).
Можно обойтись и двумя записями, вместо daily использовать: weekdays (только рабочие дни : понедельник — пятница )
Перепишем:
periodic weekdays 00:00 to 07:59
periodic weekdays 17:070 to 23:59
Так же можно указывать конкретные дни недели.
Таким образом мы можем создавать достаточно гибкие временные интервалы.
После того, как мы создали time-range, его необходимо создать общий ACL доступа, пусть в нашем случае он выглядит так:
access-list INTERNET deny ip host 10.10.10.2 any time-range NO-INTERNET
access-list INTERNET deny ip host 10.10.10.3 any time-range NO-INTERNET
access-list INTERNET permit ip host any any
В моем случае используется Cisco ASA, на маршрутизаторах cisco немного по другому (отличается только синтаксис слегка):
ip access-list extended INTERNET
deny ip host 10.10.10.2 any time-range NO-INTERNET
deny ip host 10.10.10.3 any time-range NO-INTERNET
permit pi host any any
Вот простенькие ACL, естественно вы делаете свои, которые вам необходимы. Это всего лишь пример 🙂
Итак, time-range создали, общий ACL создали. Теперь остается его «привязать» к интерфейсу. Давайте привяжем его к inside (интерфейс который «смотрит» в локальную сеть, где находится наши хосты: 10.10.10.2 и 10.10.10.3) на in.(входящий трaфик).
Опять же, есть некоторые отличия как это сделать в маршрутизаторах и ASA устройствах.
В Cisco ASA это делается с помощью access-group в режиме глобальной конфигурации:
access-group INTERNET in interface inside
В маршрутизаторах эта настройка находится непосредственно на интерфейсе:
Заходим в настройку интерфейса (в режиме глобальной конфигурации конечно же):
conf t
interface f0/1
ip access-group INTERNET in
Вот собственно и все. Мы настроили доступ наших пользователей к интернет в зависимости от времени.
Обсудить на форуме
Good Luck!
