评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置过滤器
背景信息
通过创建过滤器,把符合特定特征的用户纳入到过滤器中,设备将优先处理匹配过滤器特征的报文。设备支持通过ACL灵活设置过滤器。
对于CE12800,过滤器对应的ACL只能支持以下参数,否则过滤器无效:
- 基本ACL:source、time-range;
- 高级ACL:protocol、source、time-range、ttl-expired、source-port、destination-port、igmp-type;
- 基本ACL6:source、time-range;
- 高级ACL6:protocol、source、time-range、source-port、icmp6-type、destination-port。
对于安装ED-E/EG-E/EGA-E系列单板CE12800E,过滤器对应的ACL不能支持以下参数,否则过滤器无效:
- 基本ACL:vpn-instance;
- 高级ACL:vpn-instance、icmp-type、igmp-type;
- 基本ACL6:vpn-instance;
- 高级ACL6:destination、vpn-instance、icmpv6-type。
对于其他交换机,过滤器对应的ACL不能支持以下参数,否则过滤器无效:
- 基本ACL:vpn-instance;
- 高级ACL:vpn-instance;
- 基本ACL6:vpn-instance;
- 高级ACL6:destination、dscp、vpn-instance。
当同时配置了黑名单和过滤器并应用了相同的ACL,则过滤器生效。
对于CE12800,从V200R002C50版本开始,过滤器不再支持高级ACL的源端口号和TCP Flag。如果在V200R002C50版本之前,配置了匹配源端口号或TCP Flag的过滤器,则当设备升级到V200R002C50或更高版本时,过滤器不生效。
当ACL中配置了protocol和destination-port时,实际下发的协议类型及目的端口号和配置过滤器时指定的报文类型对应的协议及目的端口号一致。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令cpu-defend policy policy-name,进入防攻击策略视图。
- 执行如下命令配置过滤器:
- filter packet-type arp acl acl-number
过滤器应用的ACL可以是基于ARP的ACL。
仅CE12800E安装FD-X系列单板后支持该命令。
- filter packet-type { icmp | igmp | ospf | dhcp } acl acl-number
过滤器应用的ACL可以是基本ACL或高级ACL。
- filter packet-type { icmpv6 | ospfv3 | dhcpv6 } acl ipv6 acl6-number
过滤器应用的ACL可以是基本ACL6或高级ACL6。
- filter packet-type { snmp | dns | ftp | telnet | ssh | bgp } acl { acl-number | ipv6 acl6-number }
过滤器应用的ACL可以是基本ACL、高级ACL、基本ACL6或高级ACL6。
缺省情况下,设备中没有配置过滤器。
关于ACL的配置方法,请参见ACL配置。
- filter packet-type arp acl acl-number
- 执行命令commit,提交配置。
