配置基于IPv4的MPAC策略
配置基于IPv4的MPAC策略,根据配置的管理平面防护策略的规则决定报文是否上送CPU。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令service-security
policy ipv4 security-policy-name,创建一个基于IPv4的MPAC策略并进入MPAC策略视图。
缺省情况下,设备没有创建任何IPv4MPAC策略。
- 增加一个基于IPv4的MPAC策略的规则:
表15-2 增加一个基于IPv4的MPAC策略的规则
协议类型
配置命令
备注
TCP、UDP
rule [ rule-id ] { permit | deny } protocol { tcp | tcp-protocol-number | udp | udp-protocol-number } [ [ source-port source-port-number ] | [ destination-port destination-port-number ] | [ source-ip { source-ipv4-address { source-ipv4-mask | 0 } | any } ] | [ destination-ip { destination-ipv4-address { destination-ipv4-mask | 0 } | any } ] ] *
-
BGP、OSPF、RIP、DHCP-C(Dynamic Host Configuration Protocol-C)、DHCP-R(Dynamic Host Configuration Protocol-R)、FTP、LDP、LSP-PING、NTP、RSVP、SNMP、SSH、Telnet、TFTP、IP
rule [ rule-id ] { permit | deny } protocol { protocol-number | ftp | ssh | snmp | telnet | tftp | bgp | ldp | rsvp | ospf | rip | ntp | lsp-ping | dhcp-c | dhcp-r | ip } [ [ source-ip { source-ipv4-address { source-ipv4-mask | 0 } | any } ] | [ destination-ip { destination-ipv4-address { destination-ipv4-mask | 0 } | any } ] ] *
-
IS-IS、所有协议
rule [ rule-id ] { deny | permit } protocol { any | isis }
请慎重执行rule [ rule-id ] deny protocol any,如果在全局引用配置了此规则的策略,会使所有协议报文都无法上送,使设备处于脱管状态。
缺省情况下,没有配置基于IPv4的MPAC策略的规则。
- (可选)执行命令step step,指定MPAC策略规则组指定步长。
缺省情况下,MPAC策略规则组步长为5。
- (可选)执行命令description text,配置MPAC策略的描述信息。
缺省情况下,未配置MPAC策略的描述信息。
- 执行命令quit,返回系统视图。
- 应用基于IPv4的MPAC策略。
在全局应用基于IPv4的MPAC策略:
执行命令service-security global-binding ipv4 security-policy-name。
缺省情况下,设备没有配置MPAC策略在全局的应用。
在接口应用基于IPv4的MPAC策略:
执行命令interface interface-type interface-number,进入接口或子接口视图。
(可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
执行命令service-security binding ipv4 security-policy-name,创建基于IPv4的MPAC策略在接口上的应用。
缺省情况下,设备没有配置MPAC策略在接口上的应用。
上一页
