Перейти к содержанию

Настройка временных диапазонов

Описание и назначение функции

Временные диапазоны (time-range) позволяют ограничивать действие правил фильтрации трафика определёнными периодами времени. Правила ACL, связанные с временным диапазоном, активируются только в заданное время и автоматически деактивируются за его пределами.

Основные сценарии использования:

  • Блокировка доступа к определённым ресурсам вне рабочих часов
  • Ограничение межсетевого взаимодействия в нерабочее время
  • Применение различных QoS-политик в зависимости от времени суток
  • Активация дополнительных мер безопасности в периоды повышенного риска

Временные диапазоны применяются совместно с filter-list (ACL) и эффективны для динамического управления политиками безопасности без изменения базовой конфигурации.

Необходимые условия и предварительные требования

Для настройки временных диапазонов требуется:

  • Доступ в режим Global Configuration
  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Настроенные системные часы коммутатора
  • Предварительно созданный filter-list, к которому будет привязан временной диапазон

Примечание

Для корректной работы временных диапазонов рекомендуется синхронизация времени через протокол NTP. При использовании локальных часов коммутатора следите за точностью времени.

Назначение команд конфигурации

Команда Режим Назначение
time-range list <1-128> Global config Создаёт временной диапазон с указанным индексом и переводит в режим настройки
name <имя> Time-range config Назначает имя временному диапазону для удобства идентификации
time-range <id> everyday <HH:MM:SS> to <HH:MM:SS> Time-range config Определяет ежедневный период активности от начального до конечного времени
filter <seq> time-range <id> Filter-list config Привязывает правило фильтрации к временному диапазону

Конфигурация временных диапазонов выполняется в два этапа: создание самого диапазона с указанием периода активности, затем привязка его к правилам фильтрации.

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Переход в режим глобальной конфигурации

Switch#configure

Вход в режим настройки коммутатора.

Шаг 2: Создание временного диапазона

Switch(config)#time-range list 1
Switch(config-timerange1)#

Создаёт временной диапазон с индексом 1 и переходит в режим его настройки.

Шаг 3: Назначение имени диапазону

Switch(config-timerange1)#name WORKHOURS

Присваивает понятное имя "WORKHOURS" для идентификации диапазона в конфигурации.

Шаг 4: Определение периода активности

Switch(config-timerange1)#time-range 1 everyday 09:00:00 to 18:00:00

Устанавливает ежедневный период с 9:00 до 18:00, в течение которого диапазон считается активным.

Шаг 5: Выход из режима настройки временного диапазона

Switch(config-timerange1)#exit
Switch(config)#

Завершает настройку временного диапазона и возвращается в режим Global Configuration.

Шаг 6: Создание filter-list с привязкой времени

Switch(config)#filter-list 12 name MAC_TIME_BASED
Switch(configure-filter-l2-12)#filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any

Создаёт MAC ACL и определяет правило блокировки трафика от конкретного адреса.

Шаг 7: Назначение действия и привязка к временному диапазону

Switch(configure-filter-l2-12)#filter 10 action deny
Switch(configure-filter-l2-12)#filter 10 time-range 1

Устанавливает действие deny и привязывает правило к ранее созданному временному диапазону. Правило будет активно только с 9:00 до 18:00.

Шаг 8: Создание разрешающего правила по умолчанию

Switch(configure-filter-l2-12)#filter 100 mac any any
Switch(configure-filter-l2-12)#filter 100 action permit
Switch(configure-filter-l2-12)#exit

Добавляет разрешающее правило для всего остального трафика.

Шаг 9: Применение filter-list к интерфейсу

Switch(config)#interface 10gigaethernet 1/0/1
Switch(config-10ge1/0/1)#filter-list in 12
Switch(config-10ge1/0/1)#exit

Активирует ACL на входящем трафике интерфейса 10GE1/0/1.

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

configure
time-range list 1
name WORKHOURS
time-range 1 everyday 09:00:00 to 18:00:00
exit
filter-list 12 name MAC_TIME_BASED
filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
interface 10gigaethernet 1/0/1
filter-list in 12
end

Вывод show running-config:

!
time-range list 1
 name WORKHOURS
 time-range 1 everyday 09:00:00 to 18:00:00
!
filter-list 12 name MAC_TIME_BASED
 filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any 
 filter 10 action deny
 filter 100 mac any any 
 filter 100 action permit
!
interface 10gigaethernet 1/0/1
 filter-list in name MAC_TIME_BASED
!

Изучение состояния устройства

Просмотр конфигурации

Проверка активной конфигурации:

Switch#show running-config

Обратите внимание на строки:

  • time-range list 1 — наличие созданного временного диапазона
  • name WORKHOURS — имя диапазона для идентификации
  • time-range 1 everyday 09:00:00 to 18:00:00 — период активности

Просмотр параметров работы

Проверка привязки filter-list к интерфейсам:

Switch#show filter-list interface
  Filter-list Interface      Dir Name                                                            
  12          10ge1/0/1      In  MAC_TIME_BASED     <---- filter-list с временным диапазоном

Просмотр содержимого filter-list:

Switch#show filter-list 12

 filter-list 12 name MAC_TIME_BASED filter 2
 filter-list 12 name MAC_TIME_BASED 
 filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any 
 filter 10 action deny                          <---- действие блокировки


 filter 100 mac any any 
 filter 100 action permit

Проверка времени на коммутаторе:

Switch#show clock

Убедитесь, что системное время коммутатора корректно настроено, так как от этого зависит работа временных диапазонов.

Рекомендации выполнения команд и настроек

  1. Синхронизация времени
    • Настройте NTP-клиент на коммутаторе для автоматической синхронизации времени
    • Проверяйте точность системного времени командой show clock перед настройкой временных диапазонов
    • При дрейфе часов временные диапазоны будут срабатывать некорректно
  2. Планирование временных диапазонов
    • Используйте понятные имена (name) для идентификации назначения диапазона
    • Документируйте логику применения временных ограничений в сетевой документации
    • Учитывайте часовой пояс коммутатора при планировании периодов активности
  3. Тестирование конфигурации
    • Проверяйте работу ACL внутри и вне временного диапазона
    • Используйте команду show filter-list interface для контроля применения правил
    • Тестируйте на непродуктивном оборудовании перед внедрением
  4. Структура ACL с временными диапазонами
    • Временной диапазон привязывается к конкретному правилу filter, а не ко всему списку
    • Правила без временного диапазона работают постоянно
    • Всегда добавляйте разрешающее правило по умолчанию в конце списка
  5. Масштабирование и производительность
    • Коммутатор поддерживает до 128 временных диапазонов (индексы 1-128)
    • Один временной диапазон может использоваться в нескольких filter-list
    • Минимизируйте количество различных временных диапазонов для упрощения администрирования

История возникновения команды

Версия ПО

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Функциональность временных диапазонов позволяет реализовать динамические политики безопасности без необходимости ручного изменения конфигурации в разное время суток.

Ссылка на внешнюю документацию

Стандарт

При возникновении вопросов обратитесь к технической поддержке. Концепция временных диапазонов схожа с реализацией в RFC-совместимых устройствах и описана в документации по управлению доступом на основе времени.