گاهی از اوقات نیاز است که ارتباط با سازمان , برای کاربران بیرونی را مهیا کنیم. به عنوان مثال شرکتی که کارمندان آن دارای شرایط دورکاری هستند. در نتیجه لازم است به آنها این امکان داده شود کا در ساعات کاری به سازمان وصل و بتوانند کارهای خود را انجام دهند.
یا فرض بفرمایید یک نرم افزار خاص در سازمان ما وجود دارد که افراد در ساعات اداری به آن وصل و کارهای خود را انجام میدهند. و بعد از ساعات اداری دیگر کسی حق استفاده از آن برنامه را ندارد.
یا مثال دیگری که میتوان زد این است که شما قرار است برای یک مدت مشخص به یک پیمان کار دسترسی برای انجام روال های معمول دهید. و بعد از پایان کار دسترسی را بگیرید. از آن طرف به دلیل حساسیت down time در شبکه
این کار را قرار است بعد از ساعات اداری و دیر وقت انجام شود.
نقطه مشترک همه این سناریو ها این است که شما قصد باز کردن یک پورت (port) از شبکه خود را در بستر اینترنت دارید تا افراد بتوانند از سرویس های شما استفاده کنند. و البته نکته قابل توجه دیگر در همه این سناریو ها این است که این اتفاق باید در محدوده زمانی خاص اتفاق بی افتد.
مثلا کسانی که دور کاری میکنند باید در ساعات و روزهای اداری به سازمان ما وصل شوند. و یا کسانی که با آن نرم افزار خاص کارمیکردند باید در ساعات اداری از آن استفاده کنند. یا شخص پیمانکار ساعت مشخصی قرار بود به شبکه ما وصل شود و بعد از آن دیگر دلیلی به داشتن دسترسی برای اووجود نداشت.
خوب برای این که افراد در زمان های مورد نظر ما بتوانند از این سرویس استفاده کنند یک راه حل این هست که هر روز خودمان دسترسی ها را باز و با تمام شدن بازه زمانی مورد نظر دسترسی را بگیریم ! که خوب مطمئنا زیاد جالب نیست!
پس میریم سراغ راه حل جالب تر که همون استفاده از خاصیتی در سیسکو به نام time based ACL ها می باشد.
نوشتن این ACL ها بسیار ساده است است. به مثال زیر توجه کنید :
در این مثال قرار است شخصی که از بیرون به سازمان وصل میشود بتواند از ساعت 8 تا 9 از سرویس ها استفاده کرده و بعد از آن دسترسی از او گرفته شود
برای انجام این کار به این صورت عمل خواهیم کرد:
1 2 3 4 5 |
R2(config)#time-range RemoteTime R2(config-time-range)#? Time range configuration commands: absolute absolute time and date periodic periodic time and date |
اگر قرار است این دسترسی برای یک زمان خاص باشد از حالت absolute و اگر قرار است در دوره های مشخص تکرار شود از حال periodic استفاده میکنیم.
1 2 3 |
time-range RemoteTime periodic daily 8:00 to 9:00 ! |
در نمونه بالا گفتیم هر روز از ساعت 8 تا 9!
بعد از آن نوبت به نوشتن ACL مورد نظر و تخصیص این time-range به ACL می باشد:
1 |
access-list 100 permit ip host 10.0.0.2 host 192.168.1.2 time-range RemoteTime |
همانطور که میدانید در یک ACL می توان خطوط (acl entry) زیادی داشت , که به هر خط میتوان یک time-range متفاوت داد.
نکته یادتان نرود که این ACL را روی اینترفیس مناسب پیاده کنید. در اینجا:
1 2 |
R2(config)#int fa 0/1 R2(config-if)#ip access-group 100 in |
خوب حالا نتیجه:
1 2 3 |
R2#show access-lists Extended IP access list 100 10 permit ip host 10.0.0.2 host 192.168.1.2 time-range RemoteTime (inactive) |
1 2 3 4 5 |
R2#show time-range time-range entry: RemoteTime (inactive) periodic daily 8:00 to 9:00 used in: IP ACL entry R2# |
و در زمان های مورد نظر ما این خط active و ترافیک را عبور خواهد داد.
موفق باشید