基于时间的ACL

实验目的:

掌握基于时间的ACL配置

限制PC机只能在工作日8:00到20:00的时间段里访问R2

实验拓扑:

基于时间的ACL(Access Control List)是一种结合时间范围定义的访问控制技术,通过预定义的时间段与ACL规则联动,实现对网络流量的动态管控。其核心原理分为两部分:

  1. 时间范围定义 ‌:使用time-range命令创建时间段,支持绝对时间(如absolute start 2024/1/1 end 2024/12/31)或周期性时间(如periodic weekdays 9:00 to 18:00);
  2. ACL规则绑定 ‌:在扩展ACL(编号3000-3999)中引用时间范围,例如rule 10 deny ip source 10.1.1.1 0 time-range time1,仅当系统时间匹配time1时规则生效。

典型应用场景

  • 企业网络管理‌:限制员工在工作时间访问非业务网站(如视频、游戏);
  • 带宽优化‌:分时段分配不同出口链路流量(如工作日走教育网,周末负载均衡);
  • 安全防护‌:临时开放特定IP的访问权限(如维护窗口期)。

配置关键点

  • 时间同步‌:需确保设备系统时间准确,否则ACL可能失效(如设备时间错误导致规则未激活);
  • 匹配优先级‌:基于时间的ACL遵循标准ACL的"首次命中"原则,且时间条件优先于IP/端口匹配;
  • 部署位置‌:建议靠近流量源以减少无效传输(如限制外网访问的ACL应部署在网络出口)。

实验操作:

PC机:

先开机,然后把PC机的IP地址、子网掩码和网关配置好并应用

路由器:

R1:

系统视图 下,给接口配置ip地址和子网掩码(g0/0/0接口配置的ip地址为网关地址)(注:在路由器接口配置网关地址的作用 :实现跨网络通信;简化网络管理与配置;增强网络安全;简化网络管理与配置;故障排查与维护)

<Huawei>system-view #进入系统视图

Huawei\]undo info-center enable #关闭路由器输出信息 \[Huawei\]sysname R1 #更改设备名称 \[R1\]interface g0/0/0 #进入接口 \[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254 24 #配置ip地址和子网掩码 \[R1-GigabitEthernet0/0/0\]undo shutdown #打开接口 \[R1-GigabitEthernet0/0/0\]quit #退回到系统视图 \[R1\]interface g0/0/1 #进入接口 \[R1-GigabitEthernet0/0/1\]ip address 100.1.1.1 24 #配置ip地址和子网掩码 \[R1-GigabitEthernet0/0/1\]undo shutdown #打开接口 \[R1-GigabitEthernet0/0/1\]quit #退回到系统视图 \[R1\]quit #退回到用户视图 ##### R2: 在**系统视图**下,给接口配置ip地址和子网掩码,然后再配置静态路由,让pc机能访问R2 \system-view #进入系统视图 \[Huawei\]undo info-center enable #关闭路由器输出信息 \[Huawei\]sysname R2 #更改设备名称 \[R2\]interface g0/0/0 #进入接口 \[R2-GigabitEthernet0/0/0\]ip address 100.1.1.2 24 #配置ip地址和子网掩码 \[R2-GigabitEthernet0/0/0\]undo shutdown #打开接口 \[R2-GigabitEthernet0/0/0\]quit #退回到系统视图 \[R2\]ip route-static 192.168.1.0 24 100.1.1.1 #配置静态路由 \[R2\]quit #退回到用户视图 #### 测试pc机能否访问R2 ![](https://i-blog.csdnimg.cn/direct/0837b13f92194144b5e6404554d25818.png) 可以看到pc机能正常的访问R2 #### 配置基于时间的ACL 在**系统视图**下,配置基于时间的ACL \[R1\]time-range hw 8:00 to 20:00 working-day #创建名为"hw"的时间范围,生效时间为工作日8:00到20:00的时间段里 \[R1\]acl 3000 #创建acl,编号为3000 \[R1-acl-adv-3000\]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 100.1.1.0 0.0.0.255 time-range hw #规则10:允许源192.168.1.0/24网段访问目的100.1.1.0/24网段的IP流量,仅在"hw"时间范围内生效 \[R1-acl-adv-3000\]rule 20 deny ip #规则20:直接拦截所有IP流量(华为的ACL默认为允许所有,所以要配置这一条) \[R1-acl-adv-3000\]quit #退回到系统视图 在**系统视图**下,在对应接口启用acl规则 \[R1\]interface g0/0/0 #进入接口 \[R1-GigabitEthernet0/0/0\]traffic-filter inbound acl 3000 #在G0/0/0接口入方向应用ACL 3000 \[R1-GigabitEthernet0/0/0\]quit #退回到系统视图 ### 实验调试: 在**系统视图**下,查看路由器时间 (注:添加了灰色背景色的为系统提示信息) \[R1\]display clock #查看设备时间 2025-10-06 01:22:35 Monday Time Zone(China-Standard-Time) : UTC-08:00 可以看到设备时间为2025-10-06 01:22:35 星期一 测试pc机能否访问R2 ![](https://i-blog.csdnimg.cn/direct/1596ab6f2e41401db0192770a39c6dd2.png) 可以看到PC机无法访问R2,那是因为设备时间2025-10-06 01:22:35 星期一不在工作日8:00到20:00的时间段里 在**用户视图**下,更改设备时间 \clock datetime 12:00:00 2025-10-06 #更改设备时间 \display clock #查看设备时间 2025-10-06 12:00:41 Monday Time Zone(China-Standard-Time) : UTC-08:00 可以看到设备时间已经更改为为2025-10-06 12:00:41 星期一 再次测试pc机能否访问R2 ![](https://i-blog.csdnimg.cn/direct/5a7a2f5e652f4910acba0fce99026d1e.png) 可以看到PC机能够正常访问R2了,这是因为设备时间2025-10-06 12:00:41 星期一在工作日8:00到20:00的时间段里

相关推荐
程序员大柱13 小时前
推荐一个免费的IP地址库:纯真社区版IP库
网络·网络协议·tcp/ip
Tony Bai13 小时前
【Go 网络编程全解】14 QUIC 与 HTTP/3:探索下一代互联网协议
开发语言·网络·后端·http·golang
Maple_land14 小时前
编译器的“隐形约定”与本地变量:解锁Linux变量体系的关键密码
linux·运维·服务器·c++·centos
小蜜蜂爱编程15 小时前
Ubuntu无法开机Failed to activate swap /swapfile
linux·运维·ubuntu
德迅云安全杨德俊15 小时前
SCDN:互联网时代网站安全的安全保障
网络·安全·ddos
阿巴~阿巴~15 小时前
CPU 指令集、权限与用户态内核态机制
linux·运维·服务器·指令集·权限·用户态内核态
小涵15 小时前
企业SRE/DevOps向的精通Linux课程培训课程
linux·运维·devops·1024程序员节
航Hang*15 小时前
第1章:初识Linux系统——第8节:查看/修改权限控制和ACL
linux·运维·服务器·笔记·操作系统
一个处女座的程序猿O(∩_∩)O15 小时前
深入浅出 SSE:实现服务器向客户端的单向实时通信
运维·服务器
捷智算云服务15 小时前
DGX A100服务器常见故障解析与维修攻略
运维·服务器