华为eNSP 实验：基于时间的ACL

概念：

基于时间的ACL（Access Control List）是一种能够根据预定的时间范围对网络流量进行控制的技术手段。通过配置基于时间的ACL，可以实现在特定时间段内对特定网络流量的允许或拒绝，从而满足多种业务需求，如避免上班时间员工访问互联网网站影响工作，或在网络高峰期限制大量占用带宽的业务以缓解网络压力。

基于时间的ACL在网络安全和管理方面具有重要意义。它不仅能够提升网络的安全性和效率，还能有效管理不同时间段的网络资源的访问权限。通过定义生效时间段并将这些时间段与ACL规则关联，管理员可以精确地控制何时何地应用这些规则。例如，在企业网络中，可能需要在上班时间禁止员工访问某些互联网资源，而在非工作时间放开这些限制。这时，基于时间的ACL就显得尤为重要。

1.实验目的：

（1）掌握基于时间的ACL的配置方法

（2）掌握基于时间的ACL在接口下的应用方法

（3）掌握流量过滤的基本方法

2.实验拓扑

基于时间的ACL的实验拓扑图所示

3.实验步骤

（1）PC1的配置如下图所示

（2）配置R1，命令如下：

<Huawei>system-view  //进入系统视图
[Huawei]undo info-center enable  //关闭路由器输出信息
[Huawei]sysname R1  //修改设备名为R1
[R1]interface g0/0/0  //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置IP地址和子网掩码
[R1-GigabitEthernet0/0/0]undo shutdown //打开接口
[R1-GigabitEthernet0/0/0]quit  //退出
[R1]interface g0/0/1  //进入接口g0/0/1
[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 24 //配置IP地址和子网掩码
[R1-GigabitEthernet0/0/1]undo shutdown  //打开接口
[R1-GigabitEthernet0/0/1]quit  //退出

（3）配置R2，命令如下：

<Huawei>system-view  //进入系统视图
[Huawei]undo info-center enable  //关闭路由器输出信息
[Huawei]sysname R2  //修改设备名为 R2
[R2]interface g0/0/0  //进入接口 g0/0/0
[R2-GigabitEthernet0/0/0]ip address 100.1.1.2 24  //配置IP地址和子网掩码
[R2-GigabitEthernet0/0/0]undo shutdown  //打开接口
[R2-GigabitEthernet0/0/0]quit //退出
[R2]ip route-static 192.168.1.0 24 100.1.1.1  //配置PC1所在网段的静态路由
（4）测试PC1是否可以访问R2,结果所示

PC>ping 100.1.1.2

Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 100.1.1.2: bytes=32 seq=2 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=3 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=4 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=5 ttl=254 time=31 ms

--- 100.1.1.2 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/27/31 ms

可以看出PC1可以访问R2
（5）配置基于时间的ACL命令如下：

[R1]time-range hw 8:00 to 17:00 working-day  //配置时间段名字为 hw，设定时间为工作日的早上8点到下午5点
[R1]acl 3000  //创建ACL 编号为3000
[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 100.
1.1.0 0.0.0.255 time-range hw //在ACL 3000中调用用户名字为hw的时间段，该规则表示的意义为匹配源IP地址192.168.1.0/24和
目的IP地址100.1.1.0 /24 在每个工作日早上8点到下午5点的流量，执行动作为允许
[R1-acl-adv-3000]rule 20 deny ip  //华为的ACL默认为允许所有，必须要设置这一条
[R1-acl-adv-3000]quit  //退出
[R1]interface g0/0/0 //进入接口 g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000  //在接口下调用
[R1-GigabitEthernet0/0/0]quit //退出

4.实验调试

（1）查看路由器时间，命令如下：

[R1]display clock
2024-06-25 21:29:50
Tuesday
Time Zone(China-Standard-Time) : UTC-08:00

通过以上输出结果可以看出设备显示为 Tuesday（星期三）。

（2）测试PC1是否可以访问R2，结果所示

PC>ping 100.1.1.2

Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 100.1.1.2 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss
通过以上的信息可以看出，PC1不能访问R2，因为Tuesday不在 time-range hw范围内。

（3）修改R1的时间，命令如下：

<R1>clock datetime 12:00:00 2022-04-08
（4）测试PC1是否可以访问R2，结果所示

PC>ping 100.1.1.2

Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
From 100.1.1.2: bytes=32 seq=1 ttl=254 time=15 ms
From 100.1.1.2: bytes=32 seq=2 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=3 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=4 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=5 ttl=254 time=31 ms

--- 100.1.1.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/21/31 ms

通过以上的信息可以看出，PC1可以访问PC2，因为2022年4月8日12:00在time-range范围内。

意义：

基于时间的ACL（Access Control List）是一种能够根据预定的时间范围对网络流量进行控制的技术手段。

通过配置基于时间的ACL，可以实现在特定时间段内对特定网络流量的允许或拒绝，从而满足多种业务需求，如避免上班时间员工访问互联网网站影响工作，或在网络高峰期限制大量占用带宽的业务以缓解网络压力。