所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
使用高级ACL6过滤特定IPv6报文示例

使用高级ACL6过滤特定IPv6报文示例

组网需求

图1-22所示,Switch通过GE0/0/1接口连接用户。要求Switch能对来自用户的特定IPv6报文(源IPv6地址为fc01::2/128主机地址、目的IPv6地址为fc01::1/64网段地址的IPv6报文)进行过滤,并拒绝该报文通过。

图1-22  使用高级ACL6过滤特定IPv6报文示例组网图

配置思路

采用如下思路在Switch上进行配置:

  1. 配置高级ACL6和基于ACL6的流分类,使设备可以对特定IPv6报文(源IPv6地址为fc01::2/128、目的IPv6地址为fc01::1/64的IPv6报文)进行过滤。
  2. 配置流行为,拒绝匹配上ACL6的报文通过。
  3. 配置并应用流策略,使ACL6和流行为生效。

操作步骤

  1. 使能IPv6转发能力,并配置接口加入VLAN以及VLANIF接口的IPv6地址

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] ipv6
    [Switch] vlan batch 10
    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type trunk
    [Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet0/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ipv6 enable
    [Switch-Vlanif10] ipv6 address fc01::1 64
    [Switch-Vlanif10] quit

  2. 配置高级ACL6和基于ACL6的流分类,并配置流行为和流策略,再在接口GE0/0/1的入方向应用流策略,用于拒绝源IPv6地址为fc01::2/128、目的IPv6地址为fc01::1/64的IPv6报文通过。

    [Switch] acl ipv6 number 3001
    [Switch-acl6-adv-3001] rule deny ipv6 source fc01::2/128 destination fc01::1/64
    [Switch-acl6-adv-3001] quit
    [Switch] traffic classifier class1
    [Switch-classifier-class1] if-match ipv6 acl 3001
    [Switch-classifier-class1] quit
    [Switch] traffic behavior behav1
    [Switch-behavior-behav1] deny
    [Switch-behavior-behav1] quit
    [Switch] traffic policy policy1
    [Switch-trafficpolicy-policy1] classifier class1 behavior behav1
    [Switch-trafficpolicy-policy1] quit
    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] traffic-policy policy1 inbound
    [Switch-GigabitEthernet0/0/1] quit

  3. 验证配置结果

    # 查看ACL6的配置信息。

    [Switch] display acl ipv6 3001
    
    Advanced IPv6 ACL 3001, 1 rule
     rule 0 deny ipv6 source FC01::2/128 destination FC01::/64

    # 查看流分类的配置信息。

    [Switch] display traffic classifier user-defined
      User Defined Classifier Information:                                          
       Classifier: class1                                                           
        Operator: OR                                                                
        Rule(s) : if-match ipv6 acl 3001                                            
                                                                                    
    Total classifier number is 1                                                    

    # 查看流策略的配置信息。

    [Switch] display traffic policy user-defined
      User Defined Traffic Policy Information:                                      
      Policy: policy1                                                               
       Classifier: class1                                                           
        Operator: OR                                                                
         Behavior: behav1                                                           
          Deny                                                                      
                                                                                    
    Total policy number is 1                                                        

配置文件

Switch的配置文件

#
sysname Switch
#
ipv6
#
vlan batch 10
#
acl ipv6 number 3001
 rule 0 deny ipv6 source FC01::2/128 destination FC01::/64
#
traffic classifier class1 operator or
 if-match ipv6 acl 3001
#
traffic behavior behav1
 deny
#
traffic policy policy1 match-order config
 classifier class1 behavior behav1
#
interface Vlanif10
 ipv6 enable
 ipv6 address FC01::1/64
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10
 traffic-policy policy1 inbound
#
return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32311

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页