夜間の間だけ通信を一切できないようにしたいな。
業務の時間帯はフィルタをかけなくてもいいが、
業務時間外はフィルタをかけて通信ができないようにしたい。
だけど、いちいちコマンドを打ち込むのもめんどくさい。
そんな時はスケジュールコマンドを使えば、予め決めてある時間で
コマンドを自動で実行することができます。
時間を決めて、その時間帯だけ通信を通す。
例として、朝9時から夜の21時までは自由に通信が通りますが、
夜の21時から朝の9時の間は社内NW機器は別のセグメントに通信できないようにします。
前提のコマンド
ip lan1 address 192.168.100.254/24
ip lan2 address 192.168.200.254/24
ip filter 100 reject * * * * *
schedule at 1 */* 21:00 * ip lan1 secure filter in 100
→毎日21時になったら、”ip lan1 secure filter in 100”を実行する。
schedule at 2 */* 9:00 * no ip lan1 secure filter in 100
→毎日9時になったら、”no ip lan1 secure filter in 100”
(フィルタ設定削除)を実行する。
→毎日21時になったら、”ip lan1 secure filter in 100”を実行する。
schedule at 2 */* 9:00 * no ip lan1 secure filter in 100
→毎日9時になったら、”no ip lan1 secure filter in 100”
(フィルタ設定削除)を実行する。
今回の例は全破棄のフィルタを加えましたが、
フィルタの定義次第では、特定の端末間の通信だけ止めるようなこともできます。
上記の図で考えるなら、
ip filter 200 reject 192.168.100.1 192.168.200.1 * * *
ip filter 999 pass * * * * *
ip filter 999 pass * * * * *
のフィルタ定義を作り
schedule at 1 */* 21:00 * ip lan1 secure filter in 200 999
のように設定すれば、
21時以降は192.168.100.1から192.168.200.1充ての通信は破棄します。
それ以外は全て通します。
というスケジュールを組めます。
