18-对象策略配置
本章节下载: 18-对象策略配置 (201.24 KB)
目 录
MSR 2630/3610/3620/3620-DP/3640/3660/3600-28/3600-51/MSR2600-10-X1路由器使用集中式命令行,MSR 5620/5660/5680路由器使用分布式命令行。
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
MSR810/810-W/810-W-DB/810-LM/810-W-LM /810-LM-HK/MSR810-W-LM-HK |
对象策略 |
不支持 |
MSR 2630 |
支持 |
|
MSR3600-28/3600-51 |
支持 |
|
MSR 3610/3620/3620-DP/3640/3660 |
支持 |
|
MSR 5620/5660/5680 |
支持 |
|
MSR2600-10-X1 |
支持 |
一个对象策略中可以包含多条用于识别报文流的规则,我们称之为对象策略规则。这里的规则是指通过指定对象组来描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、服务类型等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
一个对象策略中可包含多条规则,每条规则都拥有唯一的编号以便区分,此编号在创建规则时由用户手工指定或由系统自动分配。在自动分配编号时,系统会将对应对象策略中已使用的最大编号加一作为新的编号,若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
当一个对象策略中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的匹配顺序与规则的创建顺序有关,先创建的规则优先进行匹配。对象策略规则的显示顺序与匹配顺序一致,即按照对象策略视图下通过display this命令显示的顺序,从上到下依次匹配。同时,对象策略支持通过命令移动规则位置来调整规则的匹配顺序。
在一个对象策略中用户可以创建多条规则,为了方便标识这些规则的用途,用户可以为每条规则添加描述信息对单条规则进行标识。
· 配置时间段(请参见“ACL和QoS配置指导/ACL”)
· 配置IP地址对象、IPv6地址对象和服务对象(请参见“安全配置指导/对象组”)
表1-2 创建IPV4对象策略
创建一个IPv4对象策略 |
缺省情况下,不存在任何IPv4对象策略 |
|
表1-3 创建IPV6对象策略
创建一个IPv6对象策略 |
缺省情况下,不存在任何IPv6对象策略 |
|
IPv4对象策略规则可以指定引用的对象组,包括以下几种:
· 源IP地址对象组:用于与报文的源IP地址进行匹配。
· 目的IP地址对象组:用于与报文的目的IP地址进行匹配。
· VRF:用于与报文的VRF进行匹配。
需要注意的是,如果配置对象策略规则时指定引用对象组,若该对象组不存在,则该规则将不匹配任何报文。如果配置对象策略规则时不指定引用的对象组,则该规则将匹配任意报文。
创建IPv4对象策略,并进入其视图 |
object-policy ip object-policy-name |
|
rule [ rule-id ] { drop | pass } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [vrf vrf-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] * |
||
IPv6对象策略规则可以指定引用的对象组,包括以下几种:
· 源IPv6地址对象组:用于与报文的源IPv6地址进行匹配。
· 目的IPv6地址对象组:用于与报文的目的IPv6地址进行匹配。
· VRF:用于与报文的VRF进行匹配。
需要注意的是,如果配置对象策略规则时指定引用对象组,若该对象组不存在,则该规则将不匹配任何报文。如果配置对象策略规则时不指定引用的对象组,则该规则将匹配任意报文。
创建IPv6对象策略,并进入其视图 |
object-policy ipv6 object-policy-name |
|
rule [ rule-id ] { drop | pass } [ [ source-ip { object-group-name | any } ] [ destination-ip { object-group-name | any } ] [ service { object-group-name | any } ] [ vrf vrf-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] * |
||
安全域间实例上同种类型的对象策略只能应用一个,即只能同时应用一个IPv4对象策略和一个IPv6对象策略。如果安全域间实例已应用同种类型的其他对象策略,则会配置失败。若要应用新的对象策略,需要先将已经应用的对象策略删掉。
zone-pair security souce souce-zone-name destination destination-zone-name |
|||
应用IPv4对象策略 |
object-policy apply ip object-policy-name |
||
应用IPv6对象策略 |
由于对象策略规则是按照配置先后顺序进行匹配的,因此为了使用户能够灵活调整规则的匹配顺序,可通过本配置来移动对象策略规则的位置。
进入IPv4对象策略视图 |
object-policy ip object-policy-name |
||
进入IPv6对象策略视图 |
object-policy ipv6 object-policy-name |
||
在对基于会话的业务报文(如NAT、ASPF等)进行规则匹配时,通常只对首个报文进行匹配以加快报文的处理速度,但这有时并不足以解决报文匹配的效率问题。譬如,当有大量用户同时与设备新建连接时,需要对每个新建连接都进行规则匹配,如果对象策略内包含有大量规则,那么这个匹配过程将很长,这会导致用户建立连接时间超长,从而影响设备新建连接的性能。
对象策略加速功能则可以解决上述问题,当对包含大量规则的对象策略使能了加速功能之后,其规则匹配速度将大大提高,从而提高了设备的转发性能以及新建连接的性能。
进入IPv4对象策略视图 |
object-policy ip object-policy-name |
||
进入IPv6对象策略视图 |
object-policy ipv6 object-policy-name |
||
缺省情况下,所有对象策略的加速功能均处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示对象策略的配置信息,通过查看显示信息验证配置的效果。
显示对象策略的加速状态(集中式设备) |
|
显示对象策略的加速状态(分布式设备-独立运行模式/集中式IRF设备) |
|
显示对象策略的加速状态(分布式设备-IRF模式) |
|
显示IPv4对象策略的配置信息 |
|
显示IPv6对象策略的配置信息 |
|
清除对象策略在安全域间实例中的统计信息 |
· 某公司内的各部门之间通过Device A实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置对象策略规则,允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
[DeviceA] time-range work 08:00 to 18:00 working-day
# 创建名为president的安全域,并将接口GigabitEthernet2/0/2加入该安全域中。
[DeviceA] security-zone name president
[DeviceA-security-zone-president] import interface gigabitethernet 2/0/2
[DeviceA-security-zone-president] quit
# 创建名为finance的安全域,并将接口GigabitEthernet2/0/3加入该安全域中。
[DeviceA] security-zone name finance
[DeviceA-security-zone-finance] import interface gigabitethernet 2/0/3
[DeviceA-security-zone-finance] quit
# 创建名为market的安全域,并将接口GigabitEthernet2/0/4加入该安全域中。
[DeviceA] security-zone name market
[DeviceA-security-zone-market] import interface gigabitethernet 2/0/4
[DeviceA-security-zone-market] quit
# 创建名为database的安全域,并将接口GigabitEthernet2/0/1加入该安全域中。
[DeviceA] security-zone name database
[DeviceA-security-zone-database] import interface gigabitethernet 2/0/1
[DeviceA-security-zone-database] quit
# 创建名为president的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[DeviceA] object-group ip address president
[DeviceA-obj-grp-ip-president] network subnet 192.168.1.0 24
[DeviceA-obj-grp-ip-president] quit
# 创建名为finance的IP地址对象组,并定义其子网地址为192.168.2.0/24。
[DeviceA] object-group ip address finance
[DeviceA-obj-grp-ip-finance] network subnet 192.168.2.0 24
[DeviceA-obj-grp-ip-finance] quit
# 创建名为market的IP地址对象组,并定义其子网地址为192.168.3.0/24。
[DeviceA] object-group ip address market
[DeviceA-obj-grp-ip-market] network subnet 192.168.3.0 24
[DeviceA-obj-grp-ip-market] quit
# 创建名为database的IP地址对象组,并定义其子网地址为192.168.0.0/24。
[DeviceA] object-group ip address database
[DeviceA-obj-grp-ip-database] network subnet 192.168.0.0 24
[DeviceA-obj-grp-ip-database] quit
# 创建名为web的服务对象组,并定义其支持的服务为HTTP。
[DeviceA] object-group service web
[DeviceA-obj-grp-service-web] service 6 destination eq 80
[DeviceA-obj-grp-service-web] quit
# 制订允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的对象策略及规则。
[DeviceA] object-policy ip president-database
[DeviceA-object-policy-ip-president-database] rule pass source-ip president destination-ip database service web
[DeviceA-object-policy-ip-president-database] quit
# 制订只允许财务部在工作时间通过HTTP协议访问财务数据库服务器的对象策略及规则。
[DeviceA] object-policy ip finance-database
[DeviceA-object-policy-ip-finance-database] rule pass source-ip finance destination-ip database service web time-range work
[DeviceA-object-policy-ip-finance-database] quit
# 制订禁止市场部在任何时间通过HTTP协议访问财务数据库服务器的对象策略及规则。
[DeviceA] object-policy ip market-database
[DeviceA-object-policy-ip-market-database] rule drop source-ip market destination-ip database service web
[DeviceA-object-policy-ip-market-database] quit
# 创建源安全域president到目的安全域database的安全域间实例,并应用允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的对象策略。
[DeviceA] zone-pair security source president destination database
[DeviceA-zone-pair-security-president-database] object-policy apply ip president-database
[DeviceA-zone-pair-security-president-database] quit
# 创建源安全域finance到目的安全域database的安全域间实例,并应用只允许财务部在工作时间通过HTTP协议访问财务数据库服务器的对象策略。
[DeviceA] zone-pair security source finance destination database
[DeviceA-zone-pair-security-finance-database] object-policy apply ip finance-database
[DeviceA-zone-pair-security-finance-database] quit
# 创建源安全域market到目的安全域database的安全域间实例,并应用禁止市场部在任何时间通过HTTP协议访问财务数据库服务器的对象策略。
[DeviceA] zone-pair security source market destination database
[DeviceA-zone-pair-security-market-database] object-policy apply ip market-database
[DeviceA-zone-pair-security-market-database] quit
配置完成后,在各部门的PC上可通过网络浏览器对财务数据库服务器的Web服务进行访问验证。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!