配置IPv6 MPAC策略
IPv6 MPAC可以根据配置的管理平面接入控制策略的规则决定IPv6报文是否上送CPU。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令service-security policy ipv6 security-policy-name,创建一个IPv6管理平面接入控制策略视图并进入管理平面接入控制策略视图。
- 增加一个IPv6管理平面接入控制策略的规则:
表7-5 增加一个IPv6管理平面接入控制策略的规则
协议类型
配置命令
备注
TCP、UDP
rule [ rule-id ] [ name rule-name ] { permit | deny } protocol { tcp | tcp-protocol-number | udp | udp-protocol-number } [ [ source-port source-port-number ] | [ destination-port destination-port-number ] | [ source-ip { source-ipv6-address { source-ipv6-prefix-length | 0 } | any } ] | [ destination-ip { destination-ipv6-address { destination-ipv6-prefix-length | 0 } | any } ] ] *
-
BGP、DHCP-C、DHCP-R、FTP、IP、LDP、LSP-PING、NTP、OSPF、PIM、RIP、RSVP、SNMP、SSH、Telnet、TFTP
rule [ rule-id ] [ name rule-name ] { permit | deny } protocol { ip-protocol-number | bgp | dhcp-c | dhcp-r | ftp | ip | ldp | lsp-ping | ntp | ospf | pim | rip | rsvp | snmp | ssh | telnet | tftp } [ [ source-ip { source-ipv6-address { source-ipv6-prefix-length | 0 } | any } ] | [ destination-ip { destination-ipv6-address { destination-ipv6-prefix-length | 0 } | any } ] ] *
-
所有协议
rule [ rule-id ] [ name rule-name ] { deny | permit } protocol any
请慎重执行rule [ rule-id ] deny protocol any,如果在全局引用配置了此规则的策略,会使所有协议报文都无法上送,使设备处于脱管状态。
SRH
rule [ rule-id ] [ name rule-name ] { permit | deny } ipv6-ext-header source-routing-typer srh
-
- (可选)执行命令step step,指定管理平面接入控制策略规则组指定步长。
- (可选)执行命令description text,配置管理平面接入控制策略的描述信息。
- 执行命令quit,返回系统视图。
- 应用IPv6管理平面接入控制策略。
在全局应用IPv6管理平面接入控制策略:
执行命令service-security global-binding ipv6 security-policy-name。
在接口应用IPv6管理平面接入控制策略:
- 执行命令interface interface-type interface-number,进入接口视图。
执行命令service-security policy ipv6 security-policy-name,创建IPv6管理平面接入控制策略在接口上的应用。
说明:
应用到子接口、接口上、全局上的管理平面接入控制策略优先级依次降低。即,当在全局、接口以及子接口上都应用了不同的管理平面接入控制策略,则优先匹配子接口的管理平面接入控制策略,其次是接口的管理平面接入控制策略,再次是全局的管理平面接入控制策。 - 执行命令commit,提交配置。
