记敏感时期华为交换机定时断网操作

一、前言

某*单位当前位于敏感时期，领导做出在此时间断网的决定。

经过商讨决议方案有三种：

1. 在云平台自带的防火墙上设置（弊端是仅能为该平台设置，且必须手动开关）
2. 在防火墙硬件上设置（同样需要手动开关）
3. 在核心交换机上设置

最终选择方案3，使用 ACL 可以实现自动开关及包含所有云平台。

二、设置 NTP 时间同步

1、开启 ntp 和 dns 使能

# undo ntp disable
# dns resolve

2、设置时区为东八区

# clock timezone Beijing add 08:00

3、配置域名解析

# dns server 223.5.5.5

注意：如果不使用域名解析，可能会出现单点故障进而无法恢复网络

4、配置 ntp 服务器

# ntp unicast-server domain cn.ntp.org.cn iburst

tips：iburst 是一种时间算法，顾加上较好

5、效果

# dis ntp sessions
# dis clock

三、设置 ACL 及 time-range 参数

1、设置 time-range 参数

# time-range dang 08:00 to 17:00 working-day

2、设置 ACL 策略

[*C05_35U_6881_MGBU01-acl4-advance-dang]rule permit ip destination 10.120.15.0 24 time-range dang 
[*C05_35U_6881_MGBU01-acl4-advance-dang]rule permit ip destination 10.120.16.0 24 time-range dang
[*C05_35U_6881_MGBU01-acl4-advance-dang]rule deny ip destination 10.120.15.0 24   
[*C05_35U_6881_MGBU01-acl4-advance-dang]rule deny ip destination 10.120.16.0 24 

注意：编写 ACL 时，需要注意设置 “先允许后拒绝”。

四、对 ACL 做 interface 绑定实现定时断网

traffic classifier k1 operator and       // 定义流分类 K1 其实这里的命令是 traffic classifier                                             k1
 if-match acl dang                       // 如果匹配 acl 3000
#
traffic behavior k2                      // 配置流行为 K2
 permit                                  // 流行为动作为 permit
#
traffic policy k3                        // 配置流策略 K3
 classifier k1 behavior k2               // 将流分类与流行为相关联

int vlan 44
 traffic-policy k3 inbound

五、参考：

1、戴老板 & 余老板 口述

2、http://www.voidcn.com/article/p-sogtuanb-gb.html