所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于IPv6的MPAC策略

配置基于IPv6的MPAC策略

配置基于IPv6的MPAC策略,根据配置的管理平面防护策略的规则决定报文是否上送CPU。

背景信息

为了避免网络设备被恶意报文攻击,导致网络繁忙,CPU占用率过高,造成DoS攻击,需要配置MPAC,控制上送CPU的报文,保证CPU的正常工作。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令service-security policy ipv6 security-policy-name,创建一个基于IPv6的MPAC策略并进入MPAC策略视图。

    缺省情况下,设备没有创建任何基于IPv6的MPAC策略。

  3. 增加一个基于IPv6的MPAC策略的规则:

    表15-3  增加一个基于IPv6的MPAC策略的规则

    协议类型

    配置命令

    备注

    TCP、UDP

    rule [ rule-id ] { permit | deny } protocol { tcp | tcp-protocol-number | udp | udp-protocol-number } [ [ source-port source-port-number ] | [ destination-port destination-port-number ] | [ source-ip { source-ipv6-address source-ipv6-prefix-length | source-ipv6-address/prefix-length | any } ] | [ destination-ip { destination-ipv6-address destination-ipv6-prefix-length | destination-ipv6-address/prefix-length | any } ] ] *

    -

    BGP、OSPF、RIP、DHCP-C、DHCP-R、FTP、LDP、LSP-PING、NTP、RSVP、SNMP、SSH、Telnet、TFTP、IP

    rule [ rule-id ] { permit | deny } protocol { protocol-number | ftp | ssh | snmp | telnet | tftp | bgp | ldp | rsvp | ospf | rip | ntp | lsp-ping | dhcp-c | dhcp-r | ip } [ [ source-ip { source-ipv6-address source-ipv6-prefix-length | source-ipv6-address/prefix-length | any } ] | [ destination-ip { destination-ipv6-address destination-ipv6-prefix-length | destination-ipv6-address/prefix-length | any } ] ] *

    -

    所有协议

    rule [ rule-id ] { deny | permit } protocol any

    请慎重执行rule [ rule-id ] deny protocol any,如果在全局引用配置了此规则的策略,会使所有协议报文都无法上送,使设备处于脱管状态。

    缺省情况下,没有配置基于IPv6的MPAC策略的规则。

  4. (可选)执行命令step step,指定MPAC策略规则组指定步长。

    缺省情况下,MPAC策略规则组步长为5。

  5. (可选)执行命令description text,配置MPAC策略的描述信息。

    缺省情况下,未配置MPAC策略的描述信息。

  6. 执行命令quit,返回系统视图。
  7. 应用基于IPv6的MPAC策略。

    • 在全局应用基于IPv6的MPAC策略:

      执行命令service-security global-binding ipv6 security-policy-name

      缺省情况下,设备没有配置MPAC策略在全局的应用。

    • 在接口应用基于IPv6的MPAC策略:

      1. 执行命令interface interface-type interface-number,进入接口或子接口视图。
      2. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

        缺省情况下,以太网接口处于二层模式。

        说明:

        S5720EI、S5720HI、S5730HI、S6720EI、S6720HI和S6720S-EI支持二层模式与三层模式切换。

      3. 执行命令service-security binding ipv6 security-policy-name,创建基于IPv4的MPAC策略在接口上的应用。

        缺省情况下,设备没有配置MPAC策略在接口上的应用。

    说明:
    应用到子接口、接口、全局的MPAC策略优先级依次降低。即,当在全局、接口以及子接口上都应用了不同的MPAC策略,则优先匹配子接口的MPAC策略,其次是接口的MPAC策略,再次是全局的MPAC策略。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32220

下载量:936

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页