记敏感时期华为交换机定时断网操作
一、前言
某政府单位当前位于敏感时期,领导做出在此时间断网的决定。
经过商讨决议方案有三种:
- 在云平台自带的防火墙上设置(弊端是仅能为该平台设置,且必须手动开关)
- 在防火墙硬件上设置(同样需要手动开关)
- 在核心交换机上设置
最终选择方案3,使用 ACL 可以实现自动开关及包含所有云平台。
二、设置 NTP 时间同步
1、开启 ntp 和 dns 使能
# undo ntp disable
# dns resolve
2、设置时区为东八区
# clock timezone Beijing add 08:00
3、配置域名解析
# dns server 223.5.5.5
注意:如果不使用域名解析,可能会出现单点故障进而无法恢复网络
4、配置 ntp 服务器
# ntp unicast-server domain cn.ntp.org.cn iburst
tips:iburst 是一种时间算法,顾加上较好
5、效果
# dis ntp sessions
# dis clock
三、设置 ACL 及 time-range 参数
1、设置 time-range 参数
# time-range dang 08:00 to 17:00 working-day
2、设置 ACL 策略
[*C05_35U_6881_MGBU01-acl4-advance-dang]rule permit ip destination 10.120.15.0 24 time-range dang
[*C05_35U_6881_MGBU01-acl4-advance-dang]rule permit ip destination 10.120.16.0 24 time-range dang
[*C05_35U_6881_MGBU01-acl4-advance-dang]rule deny ip destination 10.120.15.0 24
[*C05_35U_6881_MGBU01-acl4-advance-dang]rule deny ip destination 10.120.16.0 24
注意:编写 ACL 时,需要注意设置 “先允许后拒绝”。
四、对 ACL 做 interface 绑定实现定时断网
traffic classifier k1 operator and // 定义流分类 K1 其实这里的命令是 traffic classifier k1
if-match acl dang // 如果匹配 acl 3000
#
traffic behavior k2 // 配置流行为 K2
permit // 流行为动作为 permit
#
traffic policy k3 // 配置流策略 K3
classifier k1 behavior k2 // 将流分类与流行为相关联
注意:该交换机和 eNSP 上的操作略有不同。根据资料查阅,可能和三层交换和二层交换有关。
int vlan 44
traffic-policy k3 inbound
注意:如果需要解除自动开关机,执行 undo traffic-policy k3 inbound 即可。
tips: 使用 commit 命令确定,否则不生效。
五、参考:
1、戴老板 & 余老板 口述