基于时间的ACL

实验目的:

掌握基于时间的ACL配置

限制PC机只能在工作日8:00到20:00的时间段里访问R2

实验拓扑:

基于时间的ACL(Access Control List)是一种结合时间范围定义的访问控制技术,通过预定义的时间段与ACL规则联动,实现对网络流量的动态管控。其核心原理分为两部分:

  1. 时间范围定义 ‌:使用time-range命令创建时间段,支持绝对时间(如absolute start 2024/1/1 end 2024/12/31)或周期性时间(如periodic weekdays 9:00 to 18:00);
  2. ACL规则绑定 ‌:在扩展ACL(编号3000-3999)中引用时间范围,例如rule 10 deny ip source 10.1.1.1 0 time-range time1,仅当系统时间匹配time1时规则生效。

典型应用场景

  • 企业网络管理‌:限制员工在工作时间访问非业务网站(如视频、游戏);
  • 带宽优化‌:分时段分配不同出口链路流量(如工作日走教育网,周末负载均衡);
  • 安全防护‌:临时开放特定IP的访问权限(如维护窗口期)。

配置关键点

  • 时间同步‌:需确保设备系统时间准确,否则ACL可能失效(如设备时间错误导致规则未激活);
  • 匹配优先级‌:基于时间的ACL遵循标准ACL的"首次命中"原则,且时间条件优先于IP/端口匹配;
  • 部署位置‌:建议靠近流量源以减少无效传输(如限制外网访问的ACL应部署在网络出口)。

实验操作:

PC机:

先开机,然后把PC机的IP地址、子网掩码和网关配置好并应用

路由器:

R1:

系统视图 下,给接口配置ip地址和子网掩码(g0/0/0接口配置的ip地址为网关地址)(注:在路由器接口配置网关地址的作用 :实现跨网络通信;简化网络管理与配置;增强网络安全;简化网络管理与配置;故障排查与维护)

<Huawei>system-view #进入系统视图

Huawei\]undo info-center enable #关闭路由器输出信息 \[Huawei\]sysname R1 #更改设备名称 \[R1\]interface g0/0/0 #进入接口 \[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254 24 #配置ip地址和子网掩码 \[R1-GigabitEthernet0/0/0\]undo shutdown #打开接口 \[R1-GigabitEthernet0/0/0\]quit #退回到系统视图 \[R1\]interface g0/0/1 #进入接口 \[R1-GigabitEthernet0/0/1\]ip address 100.1.1.1 24 #配置ip地址和子网掩码 \[R1-GigabitEthernet0/0/1\]undo shutdown #打开接口 \[R1-GigabitEthernet0/0/1\]quit #退回到系统视图 \[R1\]quit #退回到用户视图 ##### R2: 在**系统视图**下,给接口配置ip地址和子网掩码,然后再配置静态路由,让pc机能访问R2 \system-view #进入系统视图 \[Huawei\]undo info-center enable #关闭路由器输出信息 \[Huawei\]sysname R2 #更改设备名称 \[R2\]interface g0/0/0 #进入接口 \[R2-GigabitEthernet0/0/0\]ip address 100.1.1.2 24 #配置ip地址和子网掩码 \[R2-GigabitEthernet0/0/0\]undo shutdown #打开接口 \[R2-GigabitEthernet0/0/0\]quit #退回到系统视图 \[R2\]ip route-static 192.168.1.0 24 100.1.1.1 #配置静态路由 \[R2\]quit #退回到用户视图 #### 测试pc机能否访问R2 ![](https://i-blog.csdnimg.cn/direct/0837b13f92194144b5e6404554d25818.png) 可以看到pc机能正常的访问R2 #### 配置基于时间的ACL 在**系统视图**下,配置基于时间的ACL \[R1\]time-range hw 8:00 to 20:00 working-day #创建名为"hw"的时间范围,生效时间为工作日8:00到20:00的时间段里 \[R1\]acl 3000 #创建acl,编号为3000 \[R1-acl-adv-3000\]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 100.1.1.0 0.0.0.255 time-range hw #规则10:允许源192.168.1.0/24网段访问目的100.1.1.0/24网段的IP流量,仅在"hw"时间范围内生效 \[R1-acl-adv-3000\]rule 20 deny ip #规则20:直接拦截所有IP流量(华为的ACL默认为允许所有,所以要配置这一条) \[R1-acl-adv-3000\]quit #退回到系统视图 在**系统视图**下,在对应接口启用acl规则 \[R1\]interface g0/0/0 #进入接口 \[R1-GigabitEthernet0/0/0\]traffic-filter inbound acl 3000 #在G0/0/0接口入方向应用ACL 3000 \[R1-GigabitEthernet0/0/0\]quit #退回到系统视图 ### 实验调试: 在**系统视图**下,查看路由器时间 (注:添加了灰色背景色的为系统提示信息) \[R1\]display clock #查看设备时间 2025-10-06 01:22:35 Monday Time Zone(China-Standard-Time) : UTC-08:00 可以看到设备时间为2025-10-06 01:22:35 星期一 测试pc机能否访问R2 ![](https://i-blog.csdnimg.cn/direct/1596ab6f2e41401db0192770a39c6dd2.png) 可以看到PC机无法访问R2,那是因为设备时间2025-10-06 01:22:35 星期一不在工作日8:00到20:00的时间段里 在**用户视图**下,更改设备时间 \clock datetime 12:00:00 2025-10-06 #更改设备时间 \display clock #查看设备时间 2025-10-06 12:00:41 Monday Time Zone(China-Standard-Time) : UTC-08:00 可以看到设备时间已经更改为为2025-10-06 12:00:41 星期一 再次测试pc机能否访问R2 ![](https://i-blog.csdnimg.cn/direct/5a7a2f5e652f4910acba0fce99026d1e.png) 可以看到PC机能够正常访问R2了,这是因为设备时间2025-10-06 12:00:41 星期一在工作日8:00到20:00的时间段里

相关推荐
Raymond运维3 小时前
MySQL包安装 -- RHEL系列(离线RPM包安装MySQL)
linux·运维·数据库·mysql
心灵宝贝3 小时前
libopenssl1_0_0-1.0.2p-3.49.1.x86_64安装教程(RPM包手动安装步骤+依赖解决附安装包下载)
linux·运维·服务器
数据知道3 小时前
Go语言:数据压缩与解压详解
服务器·开发语言·网络·后端·golang·go语言
btyzadt4 小时前
Ubuntu中安装Nuclei教程
linux·运维·ubuntu
养生技术人4 小时前
Oracle OCP认证考试题目详解082系列第45题
运维·数据库·sql·oracle·开闭原则·ocp
致宏Rex4 小时前
Docker 完整教程(3,4) | 网络与挂载
运维·docker·容器
沐浴露z4 小时前
【深入理解计算机网络05】数据链路层:组帧,差错控制,流量控制与可靠传输
网络·计算机网络·网络编程·408
倔强的石头1064 小时前
【Linux指南】gdb进阶技巧:断点高级玩法与变量跟踪实战
linux·运维
galaxylove4 小时前
Gartner发布网络弹性指南:将业务影响评估(BIA)嵌入网络弹性策略的核心,重点保护基础设施和关键业务系统
网络·安全·web安全