基于时间的 ACL 配置及策略

某公司通过 router 实现各部门之间的互连。
公司要求禁止销售部门PC2在上班时间（8:00至 18:00）访问工资查询服务器（IP 地址为 192.168.10.10），
财务部门PC1不受限制，可以随时访问。

网络拓扑图如下：

配置各个主机IP地址：

此处使用的是AR1220，没有接口e2/0/0这个的接口，所以在AR未启动的时候：右键–>设置–>如图将8EF1GE的接口卡放入第一行的卡槽中。就有了多的E端口

配置PC的vlan使得每个PC与Server1是可以互通的：

[R1]vlan 10
[R1-vlan10]vlan 20
[R1-vlan20]vlan 100

[R1-vlan100]int e2/0/1
[R1-Ethernet2/0/1]port link-type access 
[R1-Ethernet2/0/1]port default vlan 10

[R1-Ethernet2/0/1]int e2/0/2
[R1-Ethernet2/0/2]port link-type access 
[R1-Ethernet2/0/2]port default vlan 20

[R1-Ethernet2/0/2]int e2/0/0
[R1-Ethernet2/0/0]port link-type access 
[R1-Ethernet2/0/0]port default vlan 100
[R1-Ethernet2/0/0]quit

在R1上配置各个vlan的IP地址：

[R1]int vlanif 10
[R1-Vlanif10]ip add 192.168.1.1 24
[R1-Vlanif10]int vlanif 20
[R1-Vlanif20]ip add 192.168.2.1 24
[R1-Vlanif20]int vlanif 100
[R1-Vlanif100]ip add 192.168.10.1 24

测试互通后
这里以PC1ping通Server1和PC2为例：

配置时间规则的ACL：

[R1]acl 3001
[R1-acl-adv-3001]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1
0.10 0 time-range satime
[R1-acl-adv-3001]dis acl 3001
Advanced ACL 3001, 1 rule
Acl's step is 5
 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0 time-ra
nge satime (Active) 

[R1-acl-adv-3001]quit
[R1]int vlanif 100
[R1-Vlanif100]traffic-filter inbound acl 3001
[R1-Vlanif100]quit
[R1]

在工作日的8点到18点，PC1不能访问Server1，但是PC2可以访问