基于时间的ACL

实验目的：

掌握基于时间的ACL配置

限制PC机只能在工作日8:00到20：00的时间段里访问R2

实验拓扑：

基于时间的ACL（Access Control List）是一种结合时间范围定义的访问控制技术，通过预定义的时间段与ACL规则联动，实现对网络流量的动态管控。其核心原理分为两部分：

1. ‌时间范围定义 ‌：使用time-range命令创建时间段，支持绝对时间（如absolute start 2024/1/1 end 2024/12/31）或周期性时间（如periodic weekdays 9:00 to 18:00）；
2. ‌ACL规则绑定 ‌：在扩展ACL（编号3000-3999）中引用时间范围，例如rule 10 deny ip source 10.1.1.1 0 time-range time1，仅当系统时间匹配time1时规则生效。

典型应用场景

• ‌企业网络管理‌：限制员工在工作时间访问非业务网站（如视频、游戏）；
• ‌带宽优化‌：分时段分配不同出口链路流量（如工作日走教育网，周末负载均衡）；
• ‌安全防护‌：临时开放特定IP的访问权限（如维护窗口期）。

配置关键点

• ‌时间同步‌：需确保设备系统时间准确，否则ACL可能失效（如设备时间错误导致规则未激活）；
• ‌匹配优先级‌：基于时间的ACL遵循标准ACL的"首次命中"原则，且时间条件优先于IP/端口匹配；
• ‌部署位置‌：建议靠近流量源以减少无效传输（如限制外网访问的ACL应部署在网络出口）。

实验操作：

PC机：

先开机，然后把PC机的IP地址、子网掩码和网关配置好并应用

路由器：

R1:

在系统视图 下，给接口配置ip地址和子网掩码（g0/0/0接口配置的ip地址为网关地址）（注：在路由器接口配置网关地址的作用 ：实现跨网络通信；简化网络管理与配置；增强网络安全；简化网络管理与配置；故障排查与维护）

<Huawei>system-view #进入系统视图

Huawei\]undo info-center enable #关闭路由器输出信息 \[Huawei\]sysname R1 #更改设备名称 \[R1\]interface g0/0/0 #进入接口 \[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254 24 #配置ip地址和子网掩码 \[R1-GigabitEthernet0/0/0\]undo shutdown #打开接口 \[R1-GigabitEthernet0/0/0\]quit #退回到系统视图 \[R1\]interface g0/0/1 #进入接口 \[R1-GigabitEthernet0/0/1\]ip address 100.1.1.1 24 #配置ip地址和子网掩码 \[R1-GigabitEthernet0/0/1\]undo shutdown #打开接口 \[R1-GigabitEthernet0/0/1\]quit #退回到系统视图 \[R1\]quit #退回到用户视图 ##### R2: 在**系统视图**下，给接口配置ip地址和子网掩码，然后再配置静态路由，让pc机能访问R2 \system-view #进入系统视图 \[Huawei\]undo info-center enable #关闭路由器输出信息 \[Huawei\]sysname R2 #更改设备名称 \[R2\]interface g0/0/0 #进入接口 \[R2-GigabitEthernet0/0/0\]ip address 100.1.1.2 24 #配置ip地址和子网掩码 \[R2-GigabitEthernet0/0/0\]undo shutdown #打开接口 \[R2-GigabitEthernet0/0/0\]quit #退回到系统视图 \[R2\]ip route-static 192.168.1.0 24 100.1.1.1 #配置静态路由 \[R2\]quit #退回到用户视图 #### 测试pc机能否访问R2  可以看到pc机能正常的访问R2 #### 配置基于时间的ACL 在**系统视图**下，配置基于时间的ACL \[R1\]time-range hw 8:00 to 20:00 working-day #创建名为"hw"的时间范围，生效时间为工作日8:00到20：00的时间段里 \[R1\]acl 3000 #创建acl，编号为3000 \[R1-acl-adv-3000\]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 100.1.1.0 0.0.0.255 time-range hw #规则10：允许源192.168.1.0/24网段访问目的100.1.1.0/24网段的IP流量，仅在"hw"时间范围内生效 \[R1-acl-adv-3000\]rule 20 deny ip #规则20：直接拦截所有IP流量（华为的ACL默认为允许所有，所以要配置这一条） \[R1-acl-adv-3000\]quit #退回到系统视图 在**系统视图**下，在对应接口启用acl规则 \[R1\]interface g0/0/0 #进入接口 \[R1-GigabitEthernet0/0/0\]traffic-filter inbound acl 3000 #在G0/0/0接口入方向应用ACL 3000 \[R1-GigabitEthernet0/0/0\]quit #退回到系统视图 ### 实验调试： 在**系统视图**下，查看路由器时间 （注：添加了灰色背景色的为系统提示信息） \[R1\]display clock #查看设备时间 2025-10-06 01:22:35 Monday Time Zone(China-Standard-Time) : UTC-08:00 可以看到设备时间为2025-10-06 01:22:35 星期一 测试pc机能否访问R2  可以看到PC机无法访问R2，那是因为设备时间2025-10-06 01:22:35 星期一不在工作日8:00到20：00的时间段里 在**用户视图**下，更改设备时间 \clock datetime 12:00:00 2025-10-06 #更改设备时间 \display clock #查看设备时间 2025-10-06 12:00:41 Monday Time Zone(China-Standard-Time) : UTC-08:00 可以看到设备时间已经更改为为2025-10-06 12:00:41 星期一 再次测试pc机能否访问R2  可以看到PC机能够正常访问R2了，这是因为设备时间2025-10-06 12:00:41 星期一在工作日8:00到20：00的时间段里