quinta-feira, 14 de dezembro de 2017

ACL estendida baseada em horário


Fala galera beleza?

As ACLs extendidas podem ser utilizadas de diversas formas para atingir certos objetivos, aqui vou demonstrar como utilizar uma ACL para bloquear o tráfego desejado por períodos de tempo, ou seja, se você desejar pode bloquear o acesso de usuários/aplicações/etc durante o período que quiser te dando uma opção de controle em cima do que é trafegado na sua rede.

Primeiro passo é criar os "time-range" que são os periodos utilizados como base para a ACL extendida que você quer criar, no exemplo abaixo vamos definir que o tráfego será bloqueado das 20:00 às 6:00 durante a semana e o fim de semana inteiro para teste:

time-range SEMANA
periodic weekdays 20:00 to 23:59
periodic weekdays 0:00 to 5:59
!
time-range FDS
periodic weekend 0:00 to 23:59

O segundo passo é criar a ACL extendida negando ou permitindo o tráfego utilizando os períodos que foram propostos acima:

ip access-list extended SAIDA
deny ip any any time-range SEMANA
deny ip any any time-range FDS
permit ip any any

Por último, basta aplicar a ACL na interface desejada:

interface ethernet 0/1.13
ip access-group SAIDA in

Pronto pessoal, agora é só testar e verificar se a ACL está dando match nos campos selecionados:

Horário normal:
R3#sh clock
*19:23:47.247 CET Thu Dec 14 2017
R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
!!!!!

R3#clock set 21:00:00 14 Dec 2017
R1#clock set 21:00:00 14 Dec 2017

R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

R1#sh access-lists
Extended IP access list SAIDA
    10 deny ip any any time-range SEMANA (active) (25 matches)
    20 deny ip any any time-range FDS (inactive)
    30 permit ip any any
R1#

Bacana né, com esse conceito você pode criar diversas variações de ACL permitindo apenas os tráfegos que você quiser (ex. HTTP e HTTPS, SMTP etc) durante esses períodos, lembrando que para o bom funcionamento é necessária a sincronização dos horários dos equipamentos (NTP é a melhor solução).

Abraços

Um comentário: