151-5197-5087
扬州华为授权服务中心
当前位置:网站首页 > 网络设备调试 正文 网络设备调试

华为eNSP 实验:基于时间的ACL

2024-12-05 23:06:46 网络设备调试 29 ℃ 0 评论

概念:

基于时间的ACL(Access Control List)是一种能够根据预定的时间范围对网络流量进行控制的技术手段。通过配置基于时间的ACL,可以实现在特定时间段内对特定网络流量的允许或拒绝,从而满足多种业务需求,如避免上班时间员工访问互联网网站影响工作,或在网络高峰期限制大量占用带宽的业务以缓解网络压力。

基于时间的ACL在网络安全和管理方面具有重要意义。它不仅能够提升网络的安全性和效率,还能有效管理不同时间段的网络资源的访问权限。通过定义生效时间段并将这些时间段与ACL规则关联,管理员可以精确地控制何时何地应用这些规则。例如,在企业网络中,可能需要在上班时间禁止员工访问某些互联网资源,而在非工作时间放开这些限制。这时,基于时间的ACL就显得尤为重要。

1.实验目的:

(1)掌握基于时间的ACL的配置方法

(2)掌握基于时间的ACL在接口下的应用方法

(3)掌握流量过滤的基本方法

2.实验拓扑

基于时间的ACL的实验拓扑图所示

3.实验步骤

(1)PC1的配置如下图所示

(2)配置R1,命令如下:

<Huawei>system-view  //进入系统视图
[Huawei]undo info-center enable  //关闭路由器输出信息
[Huawei]sysname R1  //修改设备名为R1
[R1]interface g0/0/0  //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置IP地址和子网掩码
[R1-GigabitEthernet0/0/0]undo shutdown //打开接口
[R1-GigabitEthernet0/0/0]quit  //退出
[R1]interface g0/0/1  //进入接口g0/0/1
[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 24 //配置IP地址和子网掩码
[R1-GigabitEthernet0/0/1]undo shutdown  //打开接口
[R1-GigabitEthernet0/0/1]quit  //退出

(3)配置R2,命令如下:

<Huawei>system-view  //进入系统视图
[Huawei]undo info-center enable  //关闭路由器输出信息
[Huawei]sysname R2  //修改设备名为 R2
[R2]interface g0/0/0  //进入接口 g0/0/0
[R2-GigabitEthernet0/0/0]ip address 100.1.1.2 24  //配置IP地址和子网掩码
[R2-GigabitEthernet0/0/0]undo shutdown  //打开接口
[R2-GigabitEthernet0/0/0]quit //退出
[R2]ip route-static 192.168.1.0 24 100.1.1.1  //配置PC1所在网段的静态路由
(4)测试PC1是否可以访问R2,结果所示

PC>ping 100.1.1.2

Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 100.1.1.2: bytes=32 seq=2 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=3 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=4 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=5 ttl=254 time=31 ms

--- 100.1.1.2 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/27/31 ms

可以看出PC1可以访问R2
(5)配置基于时间的ACL命令如下:

[R1]time-range hw 8:00 to 17:00 working-day  //配置时间段名字为 hw,设定时间为工作日的早上8点到下午5点
[R1]acl 3000  //创建ACL 编号为3000
[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 100.
1.1.0 0.0.0.255 time-range hw //在ACL 3000中调用用户名字为hw的时间段,该规则表示的意义为匹配源IP地址192.168.1.0/24和
目的IP地址100.1.1.0 /24 在每个工作日早上8点到下午5点的流量,执行动作为允许
[R1-acl-adv-3000]rule 20 deny ip  //华为的ACL默认为允许所有,必须要设置这一条
[R1-acl-adv-3000]quit  //退出
[R1]interface g0/0/0 //进入接口 g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000  //在接口下调用
[R1-GigabitEthernet0/0/0]quit //退出

4.实验调试

(1)查看路由器时间,命令如下:

[R1]display clock
2024-06-25 21:29:50
Tuesday
Time Zone(China-Standard-Time) : UTC-08:00

通过以上输出结果可以看出设备显示为 Tuesday(星期三)。

(2)测试PC1是否可以访问R2,结果所示

PC>ping 100.1.1.2

Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 100.1.1.2 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss
通过以上的信息可以看出,PC1不能访问R2,因为Tuesday不在 time-range hw范围内。

(3)修改R1的时间,命令如下:

<R1>clock datetime 12:00:00 2022-04-08
(4)测试PC1是否可以访问R2,结果所示

PC>ping 100.1.1.2

Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
From 100.1.1.2: bytes=32 seq=1 ttl=254 time=15 ms
From 100.1.1.2: bytes=32 seq=2 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=3 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=4 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=5 ttl=254 time=31 ms

--- 100.1.1.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/21/31 ms

通过以上的信息可以看出,PC1可以访问PC2,因为2022年4月8日12:00在time-range范围内。

意义:

基于时间的ACL(Access Control List)是一种能够根据预定的时间范围对网络流量进行控制的技术手段

通过配置基于时间的ACL,可以实现在特定时间段内对特定网络流量的允许或拒绝,从而满足多种业务需求,如避免上班时间员工访问互联网网站影响工作,或在网络高峰期限制大量占用带宽的业务以缓解网络压力。

版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接

请在这里放置你的在线分享代码
«    2024年12月    »
1
2345678
9101112131415
16171819202122
23242526272829
3031
控制面板
您好,欢迎到访网站!
  查看权限
网站分类
搜索
最新留言
    文章归档
    网站收藏
    友情链接