从模拟到实战在eNSP中配置ACL限制特定网段访问含时间范围策略的保姆级教程最近在帮客户部署办公网络时遇到一个典型需求财务部门的终端需要在非工作时间才能访问文件服务器其他时间则禁止连接。这种基于时间的访问控制在企业网络中很常见比如限制员工上班时间访问娱乐网站或者只允许运维人员在维护窗口期操作关键设备。今天我就用华为eNSP模拟器手把手教你实现这个功能。1. 实验环境搭建与基础配置1.1 网络拓扑设计我们先构建一个典型的三层网络架构[财务部PC]---[接入交换机]---[核心路由器]---[文件服务器]在eNSP中具体配置如下财务部PC192.168.10.2/24网关192.168.10.1文件服务器192.168.20.100/24网关192.168.20.1路由器接口GE0/0/0192.168.10.1/24连接财务部GE0/0/1192.168.20.1/24连接服务器# 路由器基础配置示例 system-view sysname R1 interface GigabitEthernet0/0/0 ip address 192.168.10.1 255.255.255.0 interface GigabitEthernet0/0/1 ip address 192.168.20.1 255.255.255.01.2 连通性测试配置完成后先验证基础连通性# 在财务部PC上执行 ping 192.168.20.100正常情况下应该能ping通如果失败需要检查终端IP和网关配置路由器接口状态display ip interface brief路由表display ip routing-table2. ACL时间范围策略精讲2.1 时间范围定义原理华为设备的时间范围(time-range)配置有几个关键特性绝对时间精确到分钟的起止时间周期时间按星期重复生效混合模式可以组合绝对和周期时间我们以工作日9:00-18:00禁止访问为例time-range WORKTIME 09:00 to 18:00 working-day注意working-day默认指周一到周五华为设备不支持自定义工作日2.2 高级时间配置技巧如果需要更复杂的时间控制比如节假日特殊规则午休时段开放访问月末最后三天全天开放可以通过多个时间范围组合实现# 定义工作时间段 time-range WORKTIME 09:00 to 12:00 working-day time-range WORKTIME 13:30 to 18:00 working-day # 定义月末三天 time-range MONTHEND 00:00 31 recurring time-range MONTHEND 00:00 30 recurring time-range MONTHEND 00:00 29 recurring3. ACL规则配置实战3.1 基本ACL配置步骤创建时间范围定义ACL规则应用ACL到接口完整配置示例# 创建时间范围 time-range WORKTIME 09:00 to 18:00 working-day # 定义ACL高级ACL 3000系列 acl number 3000 rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 time-range WORKTIME rule 10 permit ip # 应用ACL到财务部接口出方向 interface GigabitEthernet0/0/0 traffic-filter outbound acl 30003.2 配置验证技巧验证ACL是否生效的几种方法实时测试法# 在工作时间测试 ping 192.168.20.100 # 应该显示Request timeout # 修改系统时间后测试 clock datetime 19:00:00 2023-08-01 ping 192.168.20.100 # 应该能ping通日志检查法display acl 3000 # 查看匹配计数是否增加抓包分析法# 在路由器上开启抓包 capture-packet interface GigabitEthernet0/0/04. 典型问题排查指南4.1 常见配置错误问题现象可能原因解决方案ACL完全不生效未正确应用ACL到接口检查traffic-filter方向(inbound/outbound)时间策略不生效设备时间未同步配置NTP时间同步部分IP不受控规则顺序错误调整rule编号小号优先4.2 深度调试命令# 查看ACL详细匹配情况 display acl 3000 verbose # 检查时间范围状态 display time-range all # 查看接口ACL应用情况 display traffic-filter applied-record提示调试时可以先设置permit any规则逐步收紧策略5. 企业级部署建议在实际网络环境中部署时还需要考虑备份策略保存配置到TFTP服务器tftp 10.1.1.1 put vrpcfg.zip日志监控配置ACL日志服务器info-center loghost 10.1.1.2 acl number 3000 rule 5 log性能优化对于大流量场景建议将ACL应用到离源最近的接口避免使用过多复杂匹配条件考虑使用硬件加速ACL6. 扩展应用场景这种基于时间的ACL还可以用于访客网络控制time-range GUEST_WIFI 08:00 to 20:00 daily acl number 3001 rule deny ip source 192.168.30.0 0.0.0.255 time-range GUEST_WIFI运维窗口限制time-range MAINTENANCE 02:00 to 04:00 weekend acl number 3002 rule permit tcp source 10.8.8.8 0 destination 192.168.20.100 0 destination-port eq 22 time-range MAINTENANCE合规性要求满足等保要求的访问时段控制实现金融行业的交易时间限制在最近的一个医院项目中我们就用时间ACL实现了放射科设备只能在凌晨备份时段允许外部访问的需求。实际测试时发现设备NTP不同步导致策略异常最后通过部署本地NTP服务器解决。