所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL配置任务概览

ACL配置任务概览

设备支持的ACL主要包括:基本ACL、高级ACL、二层ACL、用户自定义ACL、用户ACL、基本ACL6和高级ACL6。

ACL的配置任务如表1-16所示。各配置任务之间,是并列关系,至少要选择其中的一种ACL进行配置。

表1-16  ACL配置任务概览

场景

描述

对应任务

配置并应用基本ACL

基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。

如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。

配置并应用基本ACL

配置并应用高级ACL

高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。

高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。

配置并应用高级ACL

配置并应用二层ACL

二层ACL根据以太网帧头信息来定义规则,如源MAC(Media Access Control)地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。

如果只需要根据二层信息过滤报文,可以配置二层ACL。

配置并应用二层ACL

配置并应用用户自定义ACL

用户自定义ACL根据报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,对IPv4和IPv6报文进行过滤。

用户自定义ACL比基本ACL、高级ACL和二层ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址、ARP报文类型对ARP报文进行过滤时,则可以配置用户自定义ACL。

配置并应用用户自定义ACL

配置并应用用户ACL

用户ACL根据IPv4报文的源IP地址或源UCL(User Control List)组、目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号、生效时间段等来定义规则,对IPv4报文进行过滤。

如果需要根据UCL组对报文进行过滤,可以配置用户ACL。

配置并应用用户ACL

配置并应用基本ACL6

基本ACL6根据源IPv6地址、分片信息和生效时间段等信息来定义规则,对IPv6报文进行过滤。

如果只需要根据源IPv6地址对报文进行过滤,可以配置基本ACL6。

配置并应用基本ACL6

配置并应用高级ACL6

高级ACL6根据源IPv6地址、目的IPv6地址、IPv6协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv6报文进行过滤。

高级ACL6比基本ACL6提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IPv6地址和目的IPv6地址对报文进行过滤时,则需要配置高级ACL6。

配置并应用高级ACL6
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32049

下载量:931

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页