实验目的:
掌握基于时间的ACL配置
限制PC机只能在工作日8:00到20:00的时间段里访问R2
实验拓扑:

基于时间的ACL(Access Control List)是一种结合时间范围定义的访问控制技术,通过预定义的时间段与ACL规则联动,实现对网络流量的动态管控。其核心原理分为两部分:
- 时间范围定义 :使用
time-range
命令创建时间段,支持绝对时间(如absolute start 2024/1/1 end 2024/12/31
)或周期性时间(如periodic weekdays 9:00 to 18:00
); - ACL规则绑定 :在扩展ACL(编号3000-3999)中引用时间范围,例如
rule 10 deny ip source 10.1.1.1 0 time-range time1
,仅当系统时间匹配time1
时规则生效。
典型应用场景
- 企业网络管理:限制员工在工作时间访问非业务网站(如视频、游戏);
- 带宽优化:分时段分配不同出口链路流量(如工作日走教育网,周末负载均衡);
- 安全防护:临时开放特定IP的访问权限(如维护窗口期)。
配置关键点
- 时间同步:需确保设备系统时间准确,否则ACL可能失效(如设备时间错误导致规则未激活);
- 匹配优先级:基于时间的ACL遵循标准ACL的"首次命中"原则,且时间条件优先于IP/端口匹配;
- 部署位置:建议靠近流量源以减少无效传输(如限制外网访问的ACL应部署在网络出口)。
实验操作:
PC机:
先开机,然后把PC机的IP地址、子网掩码和网关配置好并应用

路由器:
R1:
在系统视图 下,给接口配置ip地址和子网掩码(g0/0/0接口配置的ip地址为网关地址)(注:在路由器接口配置网关地址的作用 :实现跨网络通信;简化网络管理与配置;增强网络安全;简化网络管理与配置;故障排查与维护)
<Huawei>system-view #进入系统视图
Huawei\]undo info-center enable #关闭路由器输出信息
\[Huawei\]sysname R1 #更改设备名称
\[R1\]interface g0/0/0 #进入接口
\[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254 24 #配置ip地址和子网掩码
\[R1-GigabitEthernet0/0/0\]undo shutdown #打开接口
\[R1-GigabitEthernet0/0/0\]quit #退回到系统视图
\[R1\]interface g0/0/1 #进入接口
\[R1-GigabitEthernet0/0/1\]ip address 100.1.1.1 24 #配置ip地址和子网掩码
\[R1-GigabitEthernet0/0/1\]undo shutdown #打开接口
\[R1-GigabitEthernet0/0/1\]quit #退回到系统视图
\[R1\]quit #退回到用户视图
##### R2:
在**系统视图**下,给接口配置ip地址和子网掩码,然后再配置静态路由,让pc机能访问R2
\