1841 - PIANIFICAZIONE ORARIA

luro · lun 21 mar , 2011 4:48 pm

Salve,

come da oggetto ho esigenza di effettuare una pianificazione oraria sul servizo adsl. Nello specifico vorrei che il router fosse inibito al servizio di notte per poi essere nuovamente attivo il mattino dopo (es. 23:00 -- 06:00); tutto questo perchè il router è posizionato in una sala dove non è sempre possibile l'accesso e pertanto, non potendo spegnere l'interrutore ogni volta, resta sempre alimentato. Un'altra motivazione sarebbe quella di evitare che venga utilizzato internet impropriamente: di notte nessuno controlla quindi ...

Qualche idea?

Grazie

paolomat75 · lun 21 mar , 2011 5:09 pm

Ciao,
ci sono diverse soluzioni a seconda della tua configurazione.
Comunque con le ACL time-base funziona sicuramente

Codice: Seleziona tutto

time-range orario_lavorativo
periodic weekdays 6:00 to 23:00
access-list 100 permit ip TUA_RETE MASK any time-range orario_lavorativo
access-list 100 deny ip any any
interface FastEthernet X
ip access-group 100 in

Se hai problemi fammi sapere

luro · mar 22 mar , 2011 10:05 am

Si in effetti ci avevo già pensato ma volevo qualcosa di diverso!

Utilizzando le acces list time-base è vero che blocchiamo la navigazione, ma inevitabilmente lasciamo “attiva” l’interfaccia ADSL e, per quante protezioni si possano implementare, gli attacchi esterni sono sempre in agguato! Io avevo pensato a qualcosa che agisse ad esempio sull’interfaccia ATM, ma non ho la più pallida idea su come si possa fare!

Non ultimo ho delle difficoltà a mettere insieme le diverse sezione ACL, proprio in virtù dell’importanza dell’ordine delle stesse. E’ possibile avere una mano?

Posto le sezioni che vorrei combinare:

SEZIONE UNO (classica AntiSpoofing)

no access-list 107
access-list 107 deny ip host 0.0.0.0 any log
access-list 107 deny ip 127.0.0.0 0.255.255.255 any log
access-list 107 deny ip 10.0.0.0 0.255.255.255 any log
access-list 107 deny ip 172.16.0.0 0.15.255.255 any log
access-list 107 deny ip 192.168.0.0 0.0.255.255 any log
access-list 107 permit ip any any

SEZIONE DUE (riferimento argomento “Acl e class-map -- esclusione IP” http://www.ciscoforums.it/viewtopic.php?f=10&t=26298)

access-list 107 permit ip any 192.168.0.57 0.0.0.1 dscp 1 log
access-list 107 deny ip any any dscp 1 log
access-list 107 permit ip any any

SEZIONE TRE (pianificazione oraria)

access-list 107 permit ip MIA_RETE MASK any time-range ORARIO_LAVORATIVO
access-list 107 deny ip any any

SEZIONE QUATTRO (filtri porte Well Known)

access-list 107 deny ip any any range 1 20 log
access-list 107 deny ip any any eq 24 log
access-list 107 deny ip any any range 26 52 log
access-list 107 deny ip any any range 54 79 log
access-list 107 deny ip any any range 81 109 log
access-list 107 deny ip any any range 111 122 log
access-list 107 deny ip any any range 124 136 log
access-list 107 deny ip any any range 140 142 log
access-list 107 deny ip any any range 144 169 log
access-list 107 deny ip any any range 144 169 log
access-list 107 deny ip any any eq 444 log
access-list 107 deny ip any any range 446 448 log
access-list 107 deny ip any any range 450 499 log
access-list 107 deny ip any any range 501 514 log
access-list 107 deny ip any any range 516 960 log

Ogni suggerimento è largamente apprezzato.

Una statua d’oro (consentitemelo) a paolomat75 per la sua cortesia, disponibilità e professionalità.

Grazie ancora paolomat75 e, come spesso dico, SALUTE A TUTTI

paolomat75 · mar 22 mar , 2011 10:28 am

Grazie! Adirittura una statua

.
Per l'interfaccia ATM usi mica il dialer?

luro · mar 22 mar , 2011 11:10 am

Certamente:

Router#conf t
Router(config)#interface dialer 0
Router(config-if)#ip address negotiated
Router(config-if)#ip nat outside
Router(config-if)#encapsulation ppp
Router(config-if)#dialer pool 1
Router(config-if)#ppp chap hostname XXXXX
Router(config-if)#ppp chap password XXXXX
Router(config-if)#ip mtu 1492
Router(config-if)#exit

Saluti

paolomat75 · mar 22 mar , 2011 4:39 pm

Allora penso che puoi implementare la cosa con il dialer-list usando una ACL time-base.
http://www.cisco.com/en/US/tech/tk175/t ... 3e65.shtml

Non ho mai provato. Fammi sapere se funziona

zot · mar 22 mar , 2011 8:25 pm

copia i due script di seguito nella flash del router:

Codice: Seleziona tutto

#chiamalo atm_down.tcl
ios_config "interface atm0/0" "shutdown"

Codice: Seleziona tutto

#chiamalo atm_up.tcl
ios_config "interface atm0/0" "no shutdown"

poi dai questi comandi in conf t

Codice: Seleziona tutto

kron policy-list atm_shut
 cli tclsh atm_down.tcl
!
kron occurrence tutti_a_casa at 19:00 recurring
 policy-list atm_shut
!
kron policy-list atm_up
 cli tclsh atm_up.tcl
!
kron occurrence tutti_a_lavoro at 8:30 recurring
 policy-list atm_up

a me basta una cassa di birra

P.S. sta roba e' da paranoici pero' he...

paolomat75 · mar 22 mar , 2011 9:09 pm

Bella sta cosa

.
Ha bisogno di IOS particolari o funziona anche con le versioni base?

zot · mar 22 mar , 2011 9:45 pm

TCL e' molto,molto,molto potente ma anche tanto,ma tanto pericoloso.....

Dovrebbe bastare una qualunque IOS dalla 12.2(25) in su...ma non ne sono certissimo

paolomat75 · mar 22 mar , 2011 10:01 pm

Ok grazie. Immagino come tutti gli script puoi fare danni.
Ci darò un'occhiata

luro · ven 25 mar , 2011 4:34 pm

ehemm ... Scusatemi http://www.ciscoforums.it/posting.php?m ... 10&t=26518#
Ho cercato di seguire il discorso, ma mi sono un po perso.
Suppongo la soluzione di zot essere quella che cercavo, ma ho un dubbio!
Esiste un'istruzione che si chiama "chiamalo"?

Sono io che non ho capito niente oppure l'osservazione è giusta?

Saluti

paolomat75 · ven 25 mar , 2011 4:42 pm

Ciao,
ti ha scritto chiamalo per dirti di dare come nome file quello che segue.
Non è una funzione. Almeno io ho capito così (non conosco TCL).

zot · lun 28 mar , 2011 3:29 pm

Confermo,devi creare un file,chiamarlo come scritto nel "commento"con il comando scritto dopo il # e metterlo dentro al router..
(#indica una riga che non verra' presa in considerazione,aka un "commento").

1841 - PIANIFICAZIONE ORARIA

Login • Iscriviti