首页/资讯中心/详情

基于时间的ACL - 教程

基于时间的ACL - 教程
📅 发布时间:2026/6/19 16:50:25

实验目的:

掌握基于时间的ACL配置

限制PC机只能在工作日8:00到20:00的时间段里访问R2

实验拓扑:

一种结合时间范围定义的访问控制技术,通过预定义的时间段与ACL规则联动,实现对网络流量的动态管控。其核心原理分为两部分:就是基于时间的ACL(Access Control List)

  1. 时间范围定义‌:使用time-range命令创建时间段,支持绝对时间(如absolute start 2024/1/1 end 2024/12/31)或周期性时间(如periodic weekdays 9:00 to 18:00);
  2. ACL规则绑定‌:在扩展ACL(编号3000-3999)中引用时间范围,例如rule 10 deny ip source 10.1.1.1 0 time-range time1,仅当系统时间匹配time1时规则生效。

典型应用场景

  • 企业网络管理‌:限制员工在工作时间访问非业务网站(如视频、游戏);
  • 带宽优化‌:分时段分配不同出口链路流量(如工作日走教育网,周末负载均衡);
  • 安全防护‌:临时开放特定IP的访问权限(如维护窗口期)。

配置关键点

  • 时间同步‌:需确保设备架构时间准确,否则ACL可能失效(如设备时间错误导致规则未激活);
  • 匹配优先级‌:基于时间的ACL遵循标准ACL的“首次命中”原则,且时间条件优先于IP/端口匹配;
  • 部署位置‌:建议靠近流量源以减少无效传输(如限制外网访问的ACL应部署在网络出口)。

实验操作:

PC机:

先开机,然后把PC机的IP地址、子网掩码和网关配置好并应用

路由器:

R1:

系统视图下,给接口配置ip地址和子网掩码(g0/0/0接口设置的ip地址为网关地址)(注:在路由器接口配置网关地址的作用:实现跨网络通信;简化网络管理与调整;增强网络安全;简化网络管理与设置;故障排查与维护)

<Huawei>system-view #进入架构视图
[Huawei]undo info-center enable #关闭路由器输出信息
[Huawei]sysname R1 #更改设备名称
[R1]interface g0/0/0 #进入接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 #调整ip地址和子网掩码
[R1-GigabitEthernet0/0/0]undo shutdown #打开接口
[R1-GigabitEthernet0/0/0]quit #退回到系统视图
[R1]interface g0/0/1 #进入接口
[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 24 #配置ip地址和子网掩码
[R1-GigabitEthernet0/0/1]undo shutdown #打开接口
[R1-GigabitEthernet0/0/1]quit #退回到框架视图
[R1]quit #退回到用户视图

R2:

系统视图下,给接口配备ip地址和子网掩码,然后再配置静态路由,让pc机能访问R2

<Huawei>system-view #进入系统视图
[Huawei]undo info-center enable #关闭路由器输出信息
[Huawei]sysname R2 #更改设备名称
[R2]interface g0/0/0 #进入接口
[R2-GigabitEthernet0/0/0]ip address 100.1.1.2 24 #配置ip地址和子网掩码
[R2-GigabitEthernet0/0/0]undo shutdown #打开接口
[R2-GigabitEthernet0/0/0]quit #退回到系统视图
[R2]ip route-static 192.168.1.0 24 100.1.1.1 #配置静态路由
[R2]quit #退回到用户视图

测试pc机能否访问R2

可以看到pc机能正常的访问R2

配置基于时间的ACL

系统视图下,配置基于时间的ACL

[R1]time-range hw 8:00 to 20:00 working-day #创建名为“hw”的时间范围,生效时间为工作日8:00到20:00的时间段里
[R1]acl 3000 #创建acl,编号为3000
[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 100.1.1.0 0.0.0.255 time-range hw #规则10:允许源192.168.1.0/24网段访问目的100.1.1.0/24网段的IP流量,仅在"hw"时间范围内生效
[R1-acl-adv-3000]rule 20 deny ip #规则20:直接拦截所有IP流量(华为的ACL默认为允许所有,所以要设置这一条)
[R1-acl-adv-3000]quit #退回到系统视图

系统视图下,在对应接口启用acl规则

[R1]interface g0/0/0 #进入接口
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #在G0/0/0接口入方向应用ACL 3000
[R1-GigabitEthernet0/0/0]quit #退回到系统视图

实验调试:

系统视图下,查看路由器时间

(注:添加了灰色背景色的为系统提示信息)

[R1]display clock #查看设备时间
2025-10-06 01:22:35
Monday
Time Zone(China-Standard-Time) : UTC-08:00

可以看到设备时间为2025-10-06 01:22:35 星期一

测试pc机能否访问R2

允许看到PC机无法访问R2,那是因为设备时间2025-10-06 01:22:35 星期一不在工作日8:00到20:00的时间段里

用户视图下,更改设备时间

<R1>clock datetime 12:00:00 2025-10-06 #更改设备时间
<R1>display clock #查看设备时间
2025-10-06 12:00:41
Monday
Time Zone(China-Standard-Time) : UTC-08:00

可能看到设备时间已经更改为为2025-10-06 12:00:41 星期一

再次测试pc机能否访问R2

通过因为设备时间2025-10-06 12:00:41 星期一在工作日8:00到20:00的时间段里就是能够看到PC机能够正常访问R2了,这