30 de nov. de 2009

Access-list com horário

Encontrei este Post ao verificar a quais Blogs nosso mais novo Seguidor, Helison, já acompanhava.
Muito Bom !!! Vale a pena conferir:
Pode-se configurar uma access-list com uma função de "time-range", ou seja, o horário em que a access-list será ativada. Este recurso é bastante interessante para bloquear um tipo de tráfego durante um horário. Um exemplo seria negar acesso a um FTP ou ao Windows Update durante o horário comercial, e liberando para o resto do dia. Vamos à configuração:

Criar o intervalo de tempo

conf t
time-range Manha
periodic daily 10:03 to 10:05

Neste exemplo criei um simples time-range diário chamado "Manha" que vai de 10:03 a 10:05. Poderia ser, ao invés de diário, somente em 1 dia da semana, somente entre segunda e sexta, ou somente nos sábados e domingos.

Criação da Access-list

conf t
ip access-list extended PING
deny icmp any any time-range Manha
permit ip any any

Criei uma access-list extendida, e na primeira linha eu bloqueei o tráfego ICMP. No final dessa linha, eu especifiquei o time-range criado. E no comando seguinte, "permit ip any any", eu não configurei nenhum horário, logo esta linha ficará ativa todo o tempo, como é o normal de uma access-list.

Aplicando a access-list à interface

conf t
interface Ethernet0/0
ip access-group PING in

Após a aplicação na interface, vamos ver o status atual da ACL.

Vedita#sh clock
10:02:16.367 BRT Thu Oct 15 2009

Vedita#sh access-lists
Extended IP access list PING
deny icmp any any time-range Manha (inactive)
permit ip any any (251 matches)

Repare que pelo o horário, a linha que possui o time-range está inativa. Neste momento, essa interface aceita todo o tráfego ICMP.

Vedita#sh clock
10:03:55.871 BRT Thu Oct 15 2009

Vedita#sh access-lists
Extended IP access list PING
deny icmp any any time-range Manha (active) (57 matches)
permit ip any any (315 matches)

Agora, no horário especificado, o roteador ativou a ACL (aparece marcada como ativa na saída do comando sh access-lists) e o contador da ACL mostra quantos pacotes foram negados nessa regra.

Vedita#sh clock
10:07:16.371 BRT Thu Oct 15 2009

Vedita#sh access-lists
Extended IP access list PING
deny icmp any any time-range Manha (inactive) (534 matches)
permit ip any any (1940 matches)

E, por fim, a ACL volta a ficar inativa.

Fonte:
http://viniciusramos16.blogspot.com/2009/10/access-list-com-horario.html
Por: às
TAGs: ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)

LinkWithin

Related Posts with Thumbnails