Skip to content

Настройка временных диапазонов

Описание и назначение функции

Временные диапазоны (time-range) позволяют ограничивать действие правил фильтрации трафика определёнными периодами времени. Правила ACL, связанные с временным диапазоном, активируются только в заданное время и автоматически деактивируются за его пределами.

Основные сценарии использования:

  • Блокировка доступа к определённым ресурсам вне рабочих часов
  • Ограничение межсетевого взаимодействия в нерабочее время
  • Применение различных QoS-политик в зависимости от времени суток
  • Активация дополнительных мер безопасности в периоды повышенного риска

Временные диапазоны применяются совместно с filter-list (ACL) и эффективны для динамического управления политиками безопасности без изменения базовой конфигурации.

Необходимые условия и предварительные требования

Для настройки временных диапазонов требуется:

  • Доступ в режим Global Configuration
  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Настроенные системные часы коммутатора
  • Предварительно созданный filter-list, к которому будет привязан временной диапазон

Примечание: Для корректной работы временных диапазонов рекомендуется синхронизация времени через протокол NTP. При использовании локальных часов коммутатора следите за точностью времени.

Назначение команд конфигурации

Команда Режим Назначение
time-range list <1-128> Global config Создаёт временной диапазон с указанным индексом и переводит в режим настройки
name <имя> Time-range config Назначает имя временному диапазону для удобства идентификации
time-range <id> everyday <HH:MM:SS> to <HH:MM:SS> Time-range config Определяет ежедневный период активности от начального до конечного времени
filter <seq> time-range <id> Filter-list config Привязывает правило фильтрации к временному диапазону

Конфигурация временных диапазонов выполняется в два этапа: создание самого диапазона с указанием периода активности, затем привязка его к правилам фильтрации.

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Переход в режим глобальной конфигурации

Switch#configure

Вход в режим настройки коммутатора.

Шаг 2: Создание временного диапазона

Switch(config)#time-range list 1
Switch(config-timerange1)#

Создаёт временной диапазон с индексом 1 и переходит в режим его настройки.

Шаг 3: Назначение имени диапазону

Switch(config-timerange1)#name WORKHOURS

Присваивает понятное имя "WORKHOURS" для идентификации диапазона в конфигурации.

Шаг 4: Определение периода активности

Switch(config-timerange1)#time-range 1 everyday 09:00:00 to 18:00:00

Устанавливает ежедневный период с 9:00 до 18:00, в течение которого диапазон считается активным.

Шаг 5: Выход из режима настройки временного диапазона

Switch(config-timerange1)#exit
Switch(config)#

Завершает настройку временного диапазона и возвращается в режим Global Configuration.

Шаг 6: Создание filter-list с привязкой времени

Switch(config)#filter-list 12 name MAC_TIME_BASED
Switch(configure-filter-l2-12)#filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any

Создаёт MAC ACL и определяет правило блокировки трафика от конкретного адреса.

Шаг 7: Назначение действия и привязка к временному диапазону

Switch(configure-filter-l2-12)#filter 10 action deny
Switch(configure-filter-l2-12)#filter 10 time-range 1

Устанавливает действие deny и привязывает правило к ранее созданному временному диапазону. Правило будет активно только с 9:00 до 18:00.

Шаг 8: Создание разрешающего правила по умолчанию

Switch(configure-filter-l2-12)#filter 100 mac any any
Switch(configure-filter-l2-12)#filter 100 action permit
Switch(configure-filter-l2-12)#exit

Добавляет разрешающее правило для всего остального трафика.

Шаг 9: Применение filter-list к интерфейсу

Switch(config)#interface 10gigaethernet 1/0/1
Switch(config-10ge1/0/1)#filter-list in 12
Switch(config-10ge1/0/1)#exit

Активирует ACL на входящем трафике интерфейса 10GE1/0/1.

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

configure
time-range list 1
name WORKHOURS
time-range 1 everyday 09:00:00 to 18:00:00
exit
filter-list 12 name MAC_TIME_BASED
filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
interface 10gigaethernet 1/0/1
filter-list in 12
end

Вывод show running-config:

!
time-range list 1
 name WORKHOURS
 time-range 1 everyday 09:00:00 to 18:00:00
!
filter-list 12 name MAC_TIME_BASED
 filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any 
 filter 10 action deny
 filter 100 mac any any 
 filter 100 action permit
!
interface 10gigaethernet 1/0/1
 filter-list in name MAC_TIME_BASED
!

Изучение состояния устройства

Просмотр конфигурации

Проверка активной конфигурации:

Switch#show running-config

Обратите внимание на строки:

  • time-range list 1 — наличие созданного временного диапазона
  • name WORKHOURS — имя диапазона для идентификации
  • time-range 1 everyday 09:00:00 to 18:00:00 — период активности

Просмотр параметров работы

Проверка привязки filter-list к интерфейсам:

Switch#show filter-list interface
  Filter-list Interface      Dir Name                                                            
  12          10ge1/0/1      In  MAC_TIME_BASED     <---- filter-list с временным диапазоном

Просмотр содержимого filter-list:

Switch#show filter-list 12

 filter-list 12 name MAC_TIME_BASED filter 2
 filter-list 12 name MAC_TIME_BASED 
 filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any 
 filter 10 action deny                          <---- действие блокировки


 filter 100 mac any any 
 filter 100 action permit

Проверка времени на коммутаторе:

Switch#show clock

Убедитесь, что системное время коммутатора корректно настроено, так как от этого зависит работа временных диапазонов.

Рекомендации выполнения команд и настроек

  1. Синхронизация времени
    • Настройте NTP-клиент на коммутаторе для автоматической синхронизации времени
    • Проверяйте точность системного времени командой show clock перед настройкой временных диапазонов
    • При дрейфе часов временные диапазоны будут срабатывать некорректно
  2. Планирование временных диапазонов
    • Используйте понятные имена (name) для идентификации назначения диапазона
    • Документируйте логику применения временных ограничений в сетевой документации
    • Учитывайте часовой пояс коммутатора при планировании периодов активности
  3. Тестирование конфигурации
    • Проверяйте работу ACL внутри и вне временного диапазона
    • Используйте команду show filter-list interface для контроля применения правил
    • Тестируйте на непродуктивном оборудовании перед внедрением
  4. Структура ACL с временными диапазонами
    • Временной диапазон привязывается к конкретному правилу filter, а не ко всему списку
    • Правила без временного диапазона работают постоянно
    • Всегда добавляйте разрешающее правило по умолчанию в конце списка
  5. Масштабирование и производительность
    • Коммутатор поддерживает до 128 временных диапазонов (индексы 1-128)
    • Один временной диапазон может использоваться в нескольких filter-list
    • Минимизируйте количество различных временных диапазонов для упрощения администрирования

История возникновения команды

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Функциональность временных диапазонов позволяет реализовать динамические политики безопасности без необходимости ручного изменения конфигурации в разное время суток.

Ссылка на внешнюю документацию

При возникновении вопросов обратитесь к технической поддержке. Концепция временных диапазонов схожа с реализацией в RFC-совместимых устройствах и описана в документации по управлению доступом на основе времени.