Zeit basierende Access Control List ( ACL )

Eine Access Control List ( ACL ), auf Deutsch Zugangskontrolliste, steuert den Zugriff auf das Netzwerk. Eine ACL besteht aus seiner Liste von ‘permit’ (erlaubt) und ‘deny’ (verboten Statements, die der Reihe nach abgearbeitet werden.
Time-based ACL ist ein Cisco Feature, welches mit der Software Release 12.0.1.T eingeführt wurde, um den Zugriff auf das Netzwerk zeitgesteuert zu kontrollieren. Das Zeitfenster, Kann ‘absolut‘ oder ‘periodisch‘ sein.
Die Verwendung von zeitbasierenden Access Control Lists kann hilfreich sein und sehr einfach. Um diese zu verwenden, sind folgende Schritte nötig:

1. Zeitfenster definieren
2. ACL definieren, in welcher das Zeitfenster definiert wird
3. ACL zuweisen; z.B. zu einem Interface, einem virtuellen Interface, …

Beispiel 1: Zeitperiode
SSH nur in der Woche von 18:00 Uhr bis 06:00 Uhr erlauben (Fernwartung oder ähnliches).
1. Zeitfenster definieren
Router(config)#time-range zeit_ssh
Router(config-time-range)#periodic weekday 18:00 to 06:00

2. ACL definieren
Router(config)#ip access-list extended ssh_permit
Router(config-ext-nacl)#permit tcp any any eq 22 time-range zeit_ssh

3. ACL anwenden
Router(config)#line vty 0 4
Router(config-line)#access-class ssh_permit in

Beispiel 2: Absolute Zeit
SNMP Protokoll vom 1. März 2012 bis zum 31. März blockieren:
1. Zeitfenster definieren
Router(config)#time-range zeit_snmp
Router(config-time-range)#absolute start 05:00 1 Mar 2012 end 22:00 31 March 2012

2. ACL definieren
Router(config)#ip access-list extended snmp_block
Router(config-ext-nacl)#deny udp an an eq snmp time-range zeit_snmp
Router(config-ext-nacl)#permit ip any any

3. ACL anwenden
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip access-group snmp_block in

Hinweis: Um zu prüfen, ob eine Zeitbasierende ACL aktiv ist, kann der Befehl ‘show ip access-list’ oder der Befehl ‘show time-range’ verwendet werden.

Referenz: Cisco Tech Notes

Ein Kommentar

Schreibe einen Kommentar

You have to agree to the comment policy.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg