Time-Based Access Control List

Time-based ACL нь цаг хугацааны хязгаарт идвэхжиж ажилладаг ACL юм. Жишээ нь та ажлын цагаар Веб сайт ашиглахыг хориглож болно. 

• Хугацааны хүрээг тодорхойлох
• ACL дүрэмийг тодорхойх
• ACL-г интерфэйс дээр хэрэгжүүлэх

Time-based ACL-н хялбар жишээг туршиж үзье:

Хостоос серверлүү ажлын цагаар буюу 9 цагаас 18 цагын хооронд ping явуулахыг хориглоно

Хостоос серверлүү ping явуулж холболт шалгаж байна.

 Host

Host#ping 10.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 20/28/36 ms

Host#

Рүүтер дээр global configuration горим дээр хуцагааны хүрээг тодорхойлох:

Router

time-range ICMPDENY

 periodic daily 9:00 to 18:00

Одоо Time-based ACL-г тохируулах

Router

ip access-list extended 100

 deny icmp host 10.0.10.2 host 10.0.0.2 time-range ICMPDENY

 permit ip any any

Рүүтерийн fa0/1 дээр пакет орж ирэх үед шалгахаар бичиж өгнө.

Router

interface fastEthernet 0/1

ip access-group 100 in

Рүүтер дээр цагийг өөрчилж 9 цагаас өмнө болгох

Router

Router#clock set 8:58:00 Thu Oct 22 2015

Одоо хостоос серверлүү ping явуулаж үзье

Host

Host#ping 10.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/33/64 ms

Host#

9 цаг болоогүй байгаа учир ping амжилттай явж байна. ACL болон хугацааны хүрээг харцаагья

Router#show time-range

time-range entry: ICMPDENY (inactive)

   periodic daily 9:00 to 18:00

   used in: IP ACL entry

Router#show ip access-lists 100

Extended IP access list 100

    10 deny icmp host 10.0.10.2 host 10.0.0.2 time-range ICMPDENY (inactive)

    20 permit ip any any (5 matches)

ICMPDENY хугацааны хүрээнд биш учир inactive байна. Тийм учраас permit ip any any ажиллаж байна. Одоо ажлын цагаар ping явуулж үзье

Router

Router#show clock

09:01:25.927 UTC Thu Oct 22 2015

Host

Host#ping 10.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5)

Router

Router#show time-range

time-range entry: ICMPDENY (active)

   periodic daily 9:00 to 18:00

   used in: IP ACL entry

Router#show ip access-lists 100

Extended IP access list 100

    10 deny icmp host 10.0.10.2 host 10.0.0.2 time-range ICMPDENY (active) (5 matches)

    20 permit ip any any (5 matches)

Ажлын цагаар серверлүү ping явуулахад амжилтгүй болж байна.

Бусад ACL-уудын жишээ:

• Standart access list
• Extended access list
• Reflexive access list
• Dynamic(lock and key) access list