时间段是通过ACL定义的，配置time-range ACL就行了

通过MAC地址过滤流量典型配置举例

3.1  组网需求

如图1所示，研发部和管理部中均部署了网络视频设备，这些视频设备的MAC地址为000f-e2xx-xxxx，现要求限制这些设备仅每天的8:30到18:00才能够向外网发送数据。

图1 通过MAC地址过滤流量配置组网图

3.2  配置思路

在受限设备的IP地址不定时，可以通过MAC地址来进行匹配；而对于具有相同MAC地址前缀的多台设备，也可以通过MAC地址掩码的方式来进行同时匹配。

3.3  配置步骤

# 配置时间段time1，时间范围为每天的8:30～18:00。

<Device> system-view

[Device] time-range time1 8:30 to 18:00 daily

# 创建二层ACL 4000，定义规则为在time1时间段内允许源MAC地址前缀为000f-e2的所有报文通过，其他时间拒绝。

[Device] acl mac 4000

[Device-acl-mac-4000] rule permit source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1

[Device-acl-mac-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000

[Device-acl-mac-4000] quit

# 配置包过滤功能，应用二层ACL 4000对端口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2收到的报文进行过滤。

[Device] interface ten-gigabitethernet 1/0/1

[Device-Ten-GigabitEthernet1/0/1] packet-filter mac 4000 inbound

[Device-Ten-GigabitEthernet1/0/1] quit

[Device] interface ten-gigabitethernet 1/0/2

[Device-Ten-GigabitEthernet1/0/2] packet-filter mac 4000 inbound

[Device-Ten-GigabitEthernet1/0/2] quit

3.4  验证配置

# 执行display packet-filter命令查看包过滤功能的应用状态。

[Device] display packet-filter interface inbound

Interface: Ten-GigabitEthernet1/0/1

 Inbound policy:

  MAC ACL 4000

Interface: Ten-GigabitEthernet1/0/2

 Inbound policy:

  MAC ACL 4000

上述信息显示Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2端口上已经正确应用了包过滤功能。

在每天的8:30到18:00时间段内，视频设备可以正常与外网中的设备进行通信；在其它时间段内，视频设备无法与外网中的设备进行通信。

3.5  配置文件

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 packet-filter mac 4000 inbound

#

interface Ten-GigabitEthernet1/0/2

 port link-mode bridge

 packet-filter mac 4000 inbound

#

 time-range time1 08:30 to 18:00 daily

#

acl mac 4000

 rule 0 permit source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1

 rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000

新建时间对象：

安全策略中调用：

您好，创建对象策略，然后引用就可以