Skip to content

Настройка time based ACL

Описание и назначение функции

Временные списки доступа позволяют применять фильтрацию трафика в зависимости от времени суток и дня недели. Коммутатор активирует или деактивирует правила фильтрации автоматически в заданные временные интервалы, определенные параметром time-range.

Основные сценарии использования:

  • Блокировка доступа к внешним ресурсам в рабочее время (социальные сети, развлекательные сайты)
  • Ограничение межсетевого взаимодействия в нерабочие часы для повышения безопасности
  • Применение различных политик QoS в зависимости от времени суток
  • Снижение нагрузки на каналы связи путем блокировки некритичных сервисов в часы пиковой активности

Функция особенно эффективна в корпоративных сетях, где требуется гибкое управление доступом без постоянного вмешательства администратора.

Необходимые условия и предварительные требования

Для настройки временных списков доступа требуется:

  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Права уровня Privileged EXEC для входа в режим конфигурации
  • Созданный список доступа (MAC или IPv4)
  • Настроенное системное время или синхронизация с NTP-сервером для корректной работы временных интервалов

Примечание: Рекомендуется использовать синхронизацию времени через NTP для обеспечения точности срабатывания временных правил. Частое изменение конфигурации временных списков может вызвать повышенную нагрузку на CPU при пересчете правил в TCAM.

Назначение команд конфигурации

Команда Режим Назначение
time-range list <1-128> Global config Создает временной диапазон с указанным номером
name <имя> Time-range config Присваивает имя временному диапазону для удобства идентификации
time-range <1-128> everyday <ЧЧ:ММ:СС> to <ЧЧ:ММ:СС> Time-range config Определяет ежедневный интервал активности правила
filter <номер> time-range <1-128> Filter-list config Привязывает правило фильтрации к временному диапазону
show time-range Privileged EXEC Отображает настроенные временные диапазоны и их текущий статус

Команды формируют временную политику, которая автоматически управляет активацией правил фильтрации в списках доступа.

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Вход в режим конфигурации

Switch>enable
Switch#configure

Переход в режим глобальной конфигурации для создания временных диапазонов.

Шаг 2: Создание временного диапазона

Switch(config)#time-range list 1
Switch(config-timerange1)#name WORKHOURS

Создается временной диапазон с номером 1 и присваивается имя WORKHOURS для определения рабочих часов.

Шаг 3: Настройка временного интервала

Switch(config-timerange1)#time-range 1 everyday 09:00:00 to 18:00:00
Switch(config-timerange1)#exit

Определяется ежедневный интервал с 09:00 до 18:00, в течение которого будут активны связанные правила фильтрации.

Шаг 4: Создание списка доступа с временной привязкой

Switch(config)#filter-list 12 name MAC_TIME_BASED
Switch(configure-filter-l2-12)#filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any

Создается MAC-фильтр для блокировки трафика от конкретного устройства.

Шаг 5: Назначение действия и временного диапазона

Switch(configure-filter-l2-12)#filter 10 action deny

Устанавливается действие блокировки для правила 10.

Важно: Привязка временного диапазона к правилу выполняется до применения действия (action). Команда filter 10 time-range 1 должна выполняться после определения условий фильтрации, но до команды action.

Шаг 6: Добавление разрешающего правила

Switch(configure-filter-l2-12)#filter 100 mac any any
Switch(configure-filter-l2-12)#filter 100 action permit
Switch(configure-filter-l2-12)#exit

Создается правило с более низким приоритетом для разрешения всего остального трафика.

Шаг 7: Применение списка доступа к интерфейсу

Switch(config)#interface 10gigaethernet 1/0/1
Switch(config-10ge1/0/1)#filter-list in 12
Switch(config-10ge1/0/1)#exit

Список доступа применяется на входящий трафик интерфейса 10GE 1/0/1.

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

configure
time-range list 1
name WORKHOURS
time-range 1 everyday 09:00:00 to 18:00:00
exit
filter-list 12 name MAC_TIME_BASED
filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
interface 10gigaethernet 1/0/1
filter-list in 12
end

Вывод show running-config:

!
time-range list 1
 name WORKHOURS
 time-range 1 everyday 09:00:00 to 18:00:00
!
filter-list 12 name MAC_TIME_BASED
 filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any 
 filter 10 action deny
 filter 100 mac any any 
 filter 100 action permit
!
interface 10gigaethernet 1/0/1
 filter-list in name MAC_TIME_BASED
!

Изучение состояния устройства

Просмотр конфигурации

Проверка активной конфигурации:

Switch#show running-config

Обратите внимание на строки:

  • time-range list X — проверяет наличие созданных временных диапазонов
  • time-range X everyday/weekdays/weekend — подтверждает корректность временных интервалов
  • filter-list in name <имя> — проверяет применение списка доступа к интерфейсу

Просмотр параметров работы

Проверка списков доступа:

Switch#show filter-list 12

 filter-list 12 name MAC_TIME_BASED filter 2
 filter-list 12 name MAC_TIME_BASED 
 filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any 
 filter 10 action deny                <---- блокировка в заданное время

 filter 100 mac any any 
 filter 100 action permit

Проверка привязки к интерфейсам:

Switch#show filter-list interface
  Filter-list Interface      Dir Name                                                            
  12          10ge1/0/1      In  MAC_TIME_BASED         <---- активное применение

Рекомендации выполнения команд и настроек

  1. Синхронизация времени
    • Настройте NTP-синхронизацию для точного срабатывания временных правил
    • Используйте команду show clock для проверки корректности системного времени
  2. Порядок применения команд
    • Всегда создавайте временной диапазон перед привязкой его к правилу фильтрации
    • Применяйте команду time-range к правилу до указания действия (action)
  3. Проектирование правил
    • Используйте явное правило permit any any в конце списка для предотвращения неожиданной блокировки
    • Нумеруйте правила с шагом 10 или более для возможности последующей вставки промежуточных правил
  4. Минимизация нагрузки на CPU
    • Избегайте одновременного срабатывания нескольких временных правил
    • Разносите время активации различных политик минимум на 5-10 минут
  5. Мониторинг и документирование
    • Присваивайте понятные имена временным диапазонам (WORKHOURS, WEEKEND, MAINTENANCE)
    • Ведите документацию по применяемым временным политикам для упрощения поддержки

История возникновения команды

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Функциональность временных списков доступа введена в базовую версию прошивки коммутаторов CIT L3200 для обеспечения гибкого управления политиками безопасности без необходимости ручного вмешательства.

Ссылка на внешнюю документацию

Концепция временных списков доступа основана на стандартных практиках управления сетевой безопасностью. При возникновении вопросов обратитесь к официальной документации производителя или технической поддержке.