概念:
基于时间的ACL(Access Control List)是一种能够根据预定的时间范围对网络流量进行控制的技术手段。通过配置基于时间的ACL,可以实现在特定时间段内对特定网络流量的允许或拒绝,从而满足多种业务需求,如避免上班时间员工访问互联网网站影响工作,或在网络高峰期限制大量占用带宽的业务以缓解网络压力。
基于时间的ACL在网络安全和管理方面具有重要意义。它不仅能够提升网络的安全性和效率,还能有效管理不同时间段的网络资源的访问权限。通过定义生效时间段并将这些时间段与ACL规则关联,管理员可以精确地控制何时何地应用这些规则。例如,在企业网络中,可能需要在上班时间禁止员工访问某些互联网资源,而在非工作时间放开这些限制。这时,基于时间的ACL就显得尤为重要。
1.实验目的:
(1)掌握基于时间的ACL的配置方法
(2)掌握基于时间的ACL在接口下的应用方法
(3)掌握流量过滤的基本方法
2.实验拓扑
基于时间的ACL的实验拓扑图所示
3.实验步骤
(1)PC1的配置如下图所示
(2)配置R1,命令如下:
<Huawei>system-view //进入系统视图
[Huawei]undo info-center enable //关闭路由器输出信息
[Huawei]sysname R1 //修改设备名为R1
[R1]interface g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置IP地址和子网掩码
[R1-GigabitEthernet0/0/0]undo shutdown //打开接口
[R1-GigabitEthernet0/0/0]quit //退出
[R1]interface g0/0/1 //进入接口g0/0/1
[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 24 //配置IP地址和子网掩码
[R1-GigabitEthernet0/0/1]undo shutdown //打开接口
[R1-GigabitEthernet0/0/1]quit //退出
(3)配置R2,命令如下:
<Huawei>system-view //进入系统视图
[Huawei]undo info-center enable //关闭路由器输出信息
[Huawei]sysname R2 //修改设备名为 R2
[R2]interface g0/0/0 //进入接口 g0/0/0
[R2-GigabitEthernet0/0/0]ip address 100.1.1.2 24 //配置IP地址和子网掩码
[R2-GigabitEthernet0/0/0]undo shutdown //打开接口
[R2-GigabitEthernet0/0/0]quit //退出
[R2]ip route-static 192.168.1.0 24 100.1.1.1 //配置PC1所在网段的静态路由
(4)测试PC1是否可以访问R2,结果所示
PC>ping 100.1.1.2
Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 100.1.1.2: bytes=32 seq=2 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=3 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=4 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=5 ttl=254 time=31 ms
--- 100.1.1.2 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/27/31 ms
可以看出PC1可以访问R2
(5)配置基于时间的ACL命令如下:
[R1]time-range hw 8:00 to 17:00 working-day //配置时间段名字为 hw,设定时间为工作日的早上8点到下午5点
[R1]acl 3000 //创建ACL 编号为3000
[R1-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 100.
1.1.0 0.0.0.255 time-range hw //在ACL 3000中调用用户名字为hw的时间段,该规则表示的意义为匹配源IP地址192.168.1.0/24和
目的IP地址100.1.1.0 /24 在每个工作日早上8点到下午5点的流量,执行动作为允许
[R1-acl-adv-3000]rule 20 deny ip //华为的ACL默认为允许所有,必须要设置这一条
[R1-acl-adv-3000]quit //退出
[R1]interface g0/0/0 //进入接口 g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 //在接口下调用
[R1-GigabitEthernet0/0/0]quit //退出
4.实验调试
(1)查看路由器时间,命令如下:
[R1]display clock
2024-06-25 21:29:50
Tuesday
Time Zone(China-Standard-Time) : UTC-08:00
通过以上输出结果可以看出设备显示为 Tuesday(星期三)。
(2)测试PC1是否可以访问R2,结果所示
PC>ping 100.1.1.2
Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 100.1.1.2 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
通过以上的信息可以看出,PC1不能访问R2,因为Tuesday不在 time-range hw范围内。
(3)修改R1的时间,命令如下:
<R1>clock datetime 12:00:00 2022-04-08
(4)测试PC1是否可以访问R2,结果所示
PC>ping 100.1.1.2
Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
From 100.1.1.2: bytes=32 seq=1 ttl=254 time=15 ms
From 100.1.1.2: bytes=32 seq=2 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=3 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=4 ttl=254 time=16 ms
From 100.1.1.2: bytes=32 seq=5 ttl=254 time=31 ms
--- 100.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/21/31 ms
通过以上的信息可以看出,PC1可以访问PC2,因为2022年4月8日12:00在time-range范围内。
意义:
基于时间的ACL(Access Control List)是一种能够根据预定的时间范围对网络流量进行控制的技术手段。
通过配置基于时间的ACL,可以实现在特定时间段内对特定网络流量的允许或拒绝,从而满足多种业务需求,如避免上班时间员工访问互联网网站影响工作,或在网络高峰期限制大量占用带宽的业务以缓解网络压力。
版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接。
请在这里放置你的在线分享代码