- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-時間段配置
本章節下載: 05-時間段配置 (181.85 KB)
目 錄
時間段(Time Range)定義了一個時間範圍。用戶通過創建一個時間段並在某業務中將其引用,就可使該業務在此時間段定義的時間範圍內生效。
譬如,當一個ACL規則隻需在某個特定時間範圍內生效時,就可以先配置好這個時間段,然後在配置該ACL規則時引用此時間段,這樣該ACL規則就隻能在該時間段定義的時間範圍內生效。
在一個時間段中,可以使用以下兩種方式定義時間範圍:
· 周期時間段:表示以每周每月為周期(如每周一的8至12點)循環生效的時間段。
· 絕對時間段:表示在指定時間範圍內(如2015年1月1日8點至2015年1月3日18點)生效的時間段。
當一個時間段內包含有多個周期時間段和絕對時間段時,係統將先分別取各周期時間段的並集和各絕對時間段的並集,再取這兩個並集的交集作為該時間段最終生效的時間範圍。
如果一個業務所引用的時間段尚未配置或已被刪除,該業務將不會生效。
用戶最多可創建1024個不同名稱的時間段。一個時間段內最多可以包含32個周期時間段和12個絕對時間段。
(1) 進入係統視圖。
system-view
(2) 創建時間段。
time-range time-range-name { { monthly | weekly } start-day start-time to end-day end-time [ from time1 date1 ] [ to time2 date2 ] | start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }
如果指定的時間段已經創建,則本命令可以修改時間段的時間範圍。
(3) 配置時間段的描述信息。
time-range time-range-name description text
缺省情況下,時間段未配置描述信息。
在電信雲堤組網場景中,存在大量租戶,網絡中的控製器將為每個租戶唯一分配一個租戶ID,並通過Netconf將租戶ID及其關聯的時間段信息下發給防火牆等安全設備,防火牆通過控製器下發的信息生成本命令,使租戶的安全策略在特定時間段內生效。如果與租戶綁定的時間段不存在,則係統會創建一個新的時間段。
租戶ID通常由遠端控製器分配,因此不建議在設備上手工設置本功能。
同一個時間段隻能綁定一個租戶。
同一個租戶可以綁定多個不同時間段,最終生效的時間段為所有時間段的並集。如果與租戶綁定的時間段不存在,則係統會創建一個新的時間段。
(1) 進入係統視圖。
system-view
(2) 配置時間段歸屬的租戶。
time-range time-range-name yundi alias alias-name tenant tenant-id
缺省情況下,時間段沒有歸屬租戶,即租戶的安全策略不受時間段限製。
在完成上述配置後,在任意視圖下執行display命令可以顯示時間段配置後的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 時間段顯示和維護
|
配置 |
命令 |
|
顯示時間段的配置和狀態信息 |
display time-range { time-range-name | all } |
要求通過在Device上配置ACL規則,實現在2015年6月到2015年12月之間每周工作日的8點到18點隻允許Host A訪問Server。
圖1-1 時間段典型配置組網圖
# 創建名為work的時間段,其時間範圍為2015年6月到2015年12月之間每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day from 00:00 6/1/2015 to 24:00 12/31/2015
# 創建IPv4基本ACL 2001,並製定如下規則:在名為work的時間段內隻允許來自192.168.1.2/32的報文通過、禁止來自其它IP地址的報文通過。
[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit source 192.168.1.2 0 time-range work
[Device-acl-ipv4-basic-2001] rule deny source any time-range work
[Device-acl-ipv4-basic-2001] quit
# 應用IPv4基本ACL 2001對接口GigabitEthernet1/0/2出方向上的報文進行過濾。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] packet-filter 2001 outbound
[Device-GigabitEthernet1/0/2] quit
配置完成後,在Device上可以使用display time-range命令查看時間段的配置和狀態信息:
# 顯示所有時間段的配置和狀態信息。
[Device] display time-range all
Current time is 13:58:35 6/19/2015 Friday
Time-range : work (Active)
08:00 to 18:00 working-day
from 00:00:00 6/1/2015 to 00:00:00 1/1/2012
由此可見,時間段work已經生效。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
