评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IPv6扩展首部的过滤策略
用户可以对特定扩展首部配置过滤策略,以便对报文进行过滤。
背景信息
为了提高安全性,防止系统收到特定报文的攻击,系统可以对报文中特定扩展首部配置过滤策略,丢弃报文或正常处理。不同类型的扩展首部配置过滤策略方法如下:
- 当扩展首部为hop-by-hop或destination时,由于hop-by-hop和destination扩展首部携带Option选项,所以可以通过指定option-code选项为具体的值,只针对扩展首部某个具体的option选项配置过滤策略;当指定option-code选项的值为all时,表示不区分option选项。
- 当扩展首部为routing时,由于routing扩展首部携带路由类型时,所以可以通过指定routing-type选项为具体的值,只针对某一特定类型的路由扩展首部配置过滤策略,当指定routing-type选项的值为all时,表示不区分routing-type。
- 当扩展首部为fragment或esp或ah时,其扩展首部既不携带Option选项也不携带路由类型,可直接对特定扩展首部配置过滤策略。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置IPv6扩展首部的过滤策略,用户可以根据需要选择执行以下一个或两个配置步骤:
- 系统视图下,执行以下步骤配置IPv6扩展首部的过滤策略。用户可以根据需要选择执行以下一个或多个配置步骤:
- 执行命令ipv6 extension-header { hop-by-hop | destination } option-code { all | optcodevalue } { deny | permit },配置IPv6逐跳选项扩展首部和目的选项扩展首部的过滤策略。
- 执行命令ipv6 extension-header routing routing-type { all | routing-number } { deny | permit },配置IPv6路由扩展首部的过滤策略。
- 执行命令ipv6 extension-header { fragment | esp | ah } { deny | permit },配置IPv6分片扩展首部、封装安全载荷扩展首部和认证扩展首部的过滤策略。
- 接口视图下,配置IPv6扩展首部的过滤策略。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令ipv6 enable,使能接口的IPv6功能。
- 用户可以根据需要选择执行以下一个或多个配置步骤:
- 执行命令ipv6 extension-header { hop-by-hop | destination } option-code { all | optcodevalue } { deny | permit },配置IPv6逐跳选项扩展首部和目的选项扩展首部的过滤策略。
- 执行命令ipv6 extension-header routing routing-type { all | routing-number } { deny | permit },配置IPv6路由扩展首部的过滤策略。
- 执行命令ipv6 extension-header { fragment | esp | ah } { deny | permit },配置IPv6分片扩展首部、封装安全载荷扩展首部和认证扩展首部的过滤策略。
- 系统视图下,执行以下步骤配置IPv6扩展首部的过滤策略。用户可以根据需要选择执行以下一个或多个配置步骤:
- 执行命令commit,提交配置。
如果系统视图和接口视图下都配置了IPv6扩展首部过滤策略,以接口视图下配置的IPv6扩展首部过滤策略为准。
