- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-IPv6 安全策略配置指导
本章节下载: 04-IPv6 安全策略配置指导 (176.77 KB)
目录
IPv6安全策略策略,可以对经过设备的IPv6数据流进行有效的控制和管理。以下述五元组:出接口、入接口、源地址、目的地址、服务作为匹配条件,决定哪些数据能进出,以及它们进出的时间等。
根据实际网络情况,保证安全策略对应匹配条件的对象已存在。
· 安全策略引用的源、目的地址对象或者地址组已存在。
· 安全策略引用的服务对象或者服务组已经存在。
· 安全策略引用的时间对象已经存在。
在配置准备所涉及到的匹配对象都已经存在的前提下。具体安全策略配置如表1-1所示。
表1-1 配置IPv6安全策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv6安全策略 |
policy6 in-ineterface out-interface source-address dest-address service any any schedule { permit|deny|ipsec } [ id ] |
必选 |
目前IPv6安全策略仅支持5元组的匹配,即:源、目的接口,源、目的地址和服务,用户和应用默认情况下是any。
在没有任何安全策略配置的情况下,设备会有一个默认的允许或者禁止转发报文经过设备的配置,具体安全策略默认动作的配置如表1-2。
表1-2 配置IPv6安全策略默认动作
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置IPv6安全策略默认动作 |
policy6 default-action {permit|deny } |
可选 缺省情况下,默认动作是permit |
在完成上述配置后,在任意视图下执行display命令,可以显示设备上IPv6安全策略的配置情况,通过显示信息验证配置的效果。
表1-3 IPv6安全策略配置显示
|
操作 |
命令 |
|
Ipv6安全策略显示 |
display running-config ipv6-policy |
设备作为网关,内网用户通过设备访问外网资源。
图1-1 配置安全策略组网图
· 内网PC通过ge1口进入设备,从ge0口接入外网。
· 在设备上配置对icmpv6流量的阻断。
· 其它流量均允许通过设备。
# 配置IPv6安全策略。
host#system-view
host(config)# policy6 ge1 ge0 any any icmpv6 any any always deny
host(config-policy)#exit
(1) 通过执行display running-config ipv6-policy命令来验证配置。
host# display running-config ipv6-policy
policy6 ge1 ge0 any any icmpv6 any any always deny
policy6 default-action permit
!
(2) 网关设备和链路均正常工作时,验证局域网内主机和外网的通讯是否正常。除了icmpv6报文外,其余报文能够正常通过设备。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
