02-安全策略配置
本章节下载: 02-安全策略配置 (730.01 KB)
目 录
安全策略是根据报文的属性信息对报文进行转发控制和DPI(Deep Packet Inspection,深度报文检测)深度安全检测的防控策略。
与包过滤、对象策略相比,安全策略具有如下优势:
· 与包过滤相比,安全策略不仅可以通过五元组对报文进行控制,还可以有效区分协议(如HTTP协议)上承载的不同应用(如基于网页的游戏、视频和购物),使网络管理更加精细和准确。
· 与对象策略相比,安全策略可以基于用户对报文进行控制,使网络管理更加灵活和可视。
· 可以通过在安全策略中引用DPI业务,实现对报文内容的深度检测,有效阻止病毒和黑客的入侵。
有关包过滤的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”;有关对象策略的详细介绍,请参见“安全配置指导”中的“对象策略”。
安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。
安全策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定;而编号既可以手工指定,也可以由系统自动分配。
每条规则中均可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、源MAC地址、目的IP地址、用户、用户组、应用、应用组、终端、终端组、地区、地区组、URL过滤分类、VPN和服务。每种过滤条件中(除VPN外)均可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等。
规则基于会话对报文进行处理。规则允许报文通过后,设备会创建与此报文对应的会话表项,用于记录有关此报文的相关信息。
安全策略规则触发创建的会话,不仅可以根据报文的协议状态或所属的应用设置会话的老化时间,还可以基于规则设置会话的老化时间。规则中设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话的详细介绍,请参见“安全配置指导”中的“会话管理”。
安全策略对报文的处理流程如图1-1所示:
安全策略对报文的处理过程如下:
(1) 将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此过滤条件匹配失败。
(2) 若报文与某条规则中的所有过滤条件都匹配成功(用户与用户组匹配一项即可,应用与应用组匹配一项即可,终端与终端组匹配一项即可,源地区、源地区组、源IP地址与源MAC地址匹配一项即可,目的地区、目的地区组、目的IP地址匹配一项即可),则报文与此条规则匹配成功。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备会丢弃此报文。
(3) 若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。
¡ 若规则的动作为“丢弃”,则设备会丢弃此报文;
¡ 若规则的动作为“允许”,则设备继续对报文做第4步处理;
(4) 若引用了DPI业务,则会对此报文进行DPI深度安全检测;若未引用DPI业务,则直接允许此报文通过。
安全策略加速功能用来提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时,若安全策略内包含大量规则,此功能可以提高规则的匹配速度,保证网络通畅;若安全策略加速功能失效,则匹配的过程将会很长,导致用户建立连接的时间超长,同时也会占用系统大量的CPU资源。
安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。
非缺省vSystem不支持本特性的部分功能,具体包括:
· 关闭安全策略功能
· 配置规则与Track项联动
· 配置安全策略内容日志的发送时间
非缺省vSystem对具体命令的支持情况,请见本特性的命令参考。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
当其他设备与本设备的非管理接口连接,并需要访问该设备(如对本设备进行Ping、Telnet、访问Web页面或FTP服务等),或者由其他设备首先发起连接请求的各类协议报文交互(如动态路由协议、VPN隧道建立等)。则必须配置安全策略,放行访问本设备的相应报文,否则将无法成功建立连接。如图1-2所示。
以位于Trust安全域的PC(10.1.1.10)通过HTTPS协议访问设备(10.1.1.1)的Web管理界面为例,需要配置如下安全策略规则。
表1-1 允许PC访问本设备Web的安全策略规则
规则名称 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服务 |
动作 |
httpslocalin |
Trust |
Local |
10.1.1.10 |
10.1.1.1 |
https |
pass |
关于本设备需要配置安全策略放行协议报文的更多介绍,请参见1.5 安全策略放行本机报文。
当本设备的非管理接口与其他设备连接,并需要主动访问其他设备(如对其他设备进行Ping、Telnet、访问FTP服务等),或者由本设备首先发起连接的各类协议交互(如动态路由协议、VPN隧道建立等)。则必须配置安全策略,放行本设备发出的相应报文,否则将无法成功建立连接。如图1-3所示。
以本设备(10.1.1.1)访问位于Trust安全域的FTP Server(10.1.1.20)的FTP服务为例,需要配置如下安全策略规则。
表1-2 允许本设备访问FTP Server的安全策略规则
规则名称 |
源安全域 |
目的安全域 |
源IP地址 |
目的IP地址 |
服务 |
动作 |
ftplocalout |
Local |
Trust |
10.1.1.1 |
10.1.1.20 |
ftp |
pass |
对于仅需要本设备进行转发的流量,即经过本设备报文的源和目的均非设备本身,则必须配置安全策略,放行经过本设备的相应报文,否则将无法成功转发报文。如图1-4所示。
以位于Trust安全域的PC(10.1.1.10)通过HTTP协议访问位于Untrust安全域的外网网站为例,需要配置如下安全策略规则。
表1-3 允许PC访问外网网站的安全策略规则
规则名称 |
源安全域 |
目的安全域 |
源IP地址 |
服务 |
动作 |
trust-untrust |
Trust |
Untrust |
10.1.1.10 |
http |
pass |
为了能配置最优的安全策略方案,建议在配置安全策略时遵守如下原则:
· 配置放行报文的安全策略规则时建议采用最小范围开放原则,即在保证正常业务流量放行的情况下,配置最严谨的匹配条件。
· 配置安全策略规则时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
· 若某个安全域既需要作为源安全域又需要作为目的安全域时,建议分别配置两条安全策略规则,以保证严格控制相同安全域内不同接口之间的报文互访。否则,此安全域内不同接口之间的流量可以互通。
· 建议将Local安全域相关的安全策略规则放在最前方,以保证本机业务报文能够正常处理或发送。
当设备接收的报文需要本机处理或本机主动向外部发送报文时,需要配置安全策略放行相应安全域与Local安全域之间的报文互通。需要配置安全策略放行的常见业务(关于这部分业务的支持情况,请以设备实际情况为准)及其方法如表1-4所示。
业务名称 |
Local安全域 |
OSPF/IS-IS/RIP/BGP |
作为源安全域和目的安全域分别配置安全策略规则 |
IPsec/SSL/L2TP/MPLS/GRE |
作为源安全域和目的安全域分别配置安全策略规则 |
DNS/DHCP/FTP(客户端) |
仅作为源安全域配置安全策略规则 |
DNS/DHCP/FTP(服务器) |
仅作为目的安全域配置安全策略规则 |
SSH/Telnet/Ping/Tracet(本机发起) |
仅作为源安全域配置安全策略规则 |
SSH/Telnet/SNMP/HTTP/HTTPS(访问本机) |
仅作为目的安全域配置安全策略规则 |
BFD |
作为源安全域和目的安全域分别配置安全策略规则 |
LB |
作为源安全域和目的安全域分别配置安全策略规则 |
安全域间目前支持通过三种策略控制报文的转发:包过滤策略、对象策略、安全策略。三种策略建议不要同时配置,否则可能会存在部分策略失效导致业务中断。
配置安全策略前,请先检查设备是否存在包过滤策略或对象策略:
· 存在包过滤策略:由于安全策略对报文的处理在包过滤策略之前,当报文与安全策略规则匹配成功后,不再进行包过滤处理,可能会导致包过滤策略放行的业务中断。建议先将包过滤策略转换为安全策略,具体操作方法请参见1.10 将包过滤策略转换为安全策略。
· 存在对象策略:由于首次进入安全策略视图后对象策略功能立即失效,导致对象策略放行的业务中断。建议先将对象策略转换为安全策略,具体操作方法请参见1.11 将对象策略配置转换为安全策略配置。
安全策略的基本配置思路如图1-5所示,在配置安全策略之前需要完成的配置包括:创建安全域、配置接口并加入安全域、配置对象、配置DPI业务。
在配置安全策略之前,需完成以下任务:
· 配置时间段(请参见“ACL和QoS配置指导”中的“时间段”)。
· 配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。
· 配置应用和应用组(请参见“安全配置指导”中的“APR”)。
· 配置终端和终端组(请参见“安全配置指导”中的“终端识别”)。
· 配置用户和用户组(请参见“安全配置指导”中的“用户身份识别与管理”)。
· 配置地区和地区组(请参见“安全配置指导”中的“地区识别”)。
· 配置URL过滤分类(请参见“DPI深度安全配置指导”中的“URL过滤”)
· 配置安全域(请参见“安全配置指导”中的“安全域”)。
· 配置DPI业务(请参见“DPI深度安全配置指导”中的各模块)。
安全策略配置任务如下:
(1) (可选)将包过滤策略转换为安全策略
(2) (可选)将对象策略配置转换为安全策略配置
(3) 开启安全策略功能
(4) 配置IPv4安全策略规则
a. 创建安全策略规则
b. 配置规则过滤条件
c. 配置规则动作
d. (可选)配置规则生效时间
e. (可选)配置规则引用DPI应用profile
f. (可选)配置基于规则的会话老化时间
g. (可选)配置规则与Track项联动
h. (可选)开启规则记录日志功能
i. (可选)开启规则匹配统计功能
(5) 配置IPv6安全策略规则
a. 创建安全策略规则
b. 配置规则过滤条件
c. 配置规则动作
d. (可选)配置规则生效时间
e. (可选)配置规则引用DPI应用profile
f. (可选)配置基于规则的会话老化时间
g. (可选)配置规则与Track项联动
h. (可选)开启规则记录日志功能
i. (可选)开启规则匹配统计功能
(6) (可选)管理安全策略
a. 移动安全策略规则
b. 激活安全策略加速功能
c. 禁用安全策略规则
d. 重命名安全策略规则
(7) 配置安全策略组
a. 创建安全策略组
c. 移动安全策略组
d. 重命名安全策略组
(8) (可选)配置安全策略内容日志的发送时间
(9) (可选)配置安全策略配置变更日志输出功能
当安全策略与包过滤策略同时配置时,报文将优先与安全策略规则匹配,匹配成功后不再进行包过滤处理。所以建议包过滤和安全策略不要同时配置,否则可能会导致包过滤策略放行的业务中断。
若设备需要配置安全策略,建议先将包过滤策略全部转换为安全策略。针对不同场景包过滤策略转换为安全策略的推荐操作方法如下。
若当前设备上仅存在包过滤策略,需要将包过滤策略全部转换为安全策略,则按照如下过程完成转换:
(1) 执行security-policy disable命令关闭安全策略功能。
(2) 进入安全策略视图,按照设备上的包过滤策略配置对应安全策略规则的过滤条件及动作。
(3) 执行undo security-policy disable命令开启安全策略功能,此时安全策略生效。
(4) (可选)删除设备上的包过滤策略。
若当前设备上同时存在包过滤策略和安全策略,且均生效,需要将包过滤策略全部转换为安全策略,推荐优先使用Web方式配置替换包过滤策略的安全策略(可避免包过滤放行的业务中断)。若通过CLI方式,则按照如下过程完成转换:
(1) 首先确保当前配置设备的连接不受包过滤策略控制,建议通过设备Console口或Management安全域接口对设备进行配置,避免配置设备的连接中断,无法继续配置设备。
(2) 进入安全策略视图,按照设备上的包过滤策略配置对应安全策略规则的过滤条件及动作。
执行rule [ rule-id ] name rule-name命令创建安全策略规则后(尚未配置过滤条件或动作),新创建的规则会默认匹配所有报文并执行缺省丢弃动作,导致包过滤策略放行的业务中断。所以需要立即配置规则的过滤条件和动作,以缩短业务中断时间。并建议在业务较空闲的时间段配置安全策略。
(3) (可选)删除设备上的包过滤策略。
安全策略与对象策略不能同时生效,当设备配置安全策略时,对象策略会立即失效导致业务中断,所以首次配置安全策略前,请务必先将对象策略转换为安全策略。此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则,从而实现将对象策略快速切换为安全策略的目的,切换后设备对流量的控制效果与切换前保持一致。配置转换完成后对象策略会被删除,其与安全域间实例之间的引用关系也会被取消,未被安全域间实例引用的对象策略中的规则,被转换为安全策略规则后将被置为失效状态。
· 手动转换前,请先执行undo security-policy disable命令开启安全策略功能,并保存配置。
· 手动转换前,请勿配置安全策略,否则无法进行配置转换。
· 自动转换功能仅支持在从不支持安全策略功能的软件版本升级到支持安全策略的软件版本的应用场景中使用。
· 配置转换时,需要在设备的固定存储介质(如Flash等)上进行,请勿在设备的非固定存储介质上(如硬盘等)进行。
· 将对象策略转换为安全策略后,若再需要通过配置回滚功能恢复对象策略,请在配置回滚完成后,执行security-policy disable命令关闭安全策略功能。
在转换配置前,需要在对象策略配置中做好如下准备:
(1) 请检查每个对象策略中所有规则的排列顺序是否都遵循了“深度优先”的原则。若未遵循,则需按照“深度优先”的原则对这些规则进行重新排序;
(2) 请检查源安全域是any或目的安全域是any的安全域间实例上是否已引用对象策略。若已引用,则需合理修改对象策略后,删除这些安全域间实例的配置;
(3) 请检查配置文件加密功能是否处于开启状态。若已开启,则需关闭配置文件加密功能。
(1) 进入系统视图。
system-view
(2) 将对象策略配置转换为安全策略配置。
security-policy switch-from object-policy object-filename security-filename
只有开启安全策略功能后,配置的安全策略才能生效。
设备启动时,如果配置文件中仅存在对象策略,则设备会自动执行security-policy disable命令关闭安全策略功能;如果配置文件中对象策略和安全策略均不存在或存在安全策略,则设备自动开启安全策略功能。
安全策略功能与对象策略功能在设备上不能同时使用,当安全策略功能处于开启状态时,首次进入安全策略视图后,对象策略功能立即失效。因此在管理员手工逐条将对象策略切换为安全策略时,为避免切换过程中造成业务长期中断,建议管理员在对象策略切换完成后再开启安全策略功能。
配置回滚后,如果需要对象策略生效,配置回滚完成后,则建议用户手工执行security-policy disable命令将安全策略功能关闭。
(1) 进入系统视图。
system-view
(2) 开启安全策略功能。
undo security-policy disable
缺省情况下,安全策略功能处于开启状态。
security-policy disable命令会直接关闭所有安全策略,可能导致网络中断。
缺省情况下安全策略中不存在规则,设备仅允许Management安全域和Local安全域之间的报文通过。因此需要在如下场景中配置安全策略规则:
· 使设备能够正常处理各安全域之间的报文。
· 当设备接收的报文(如动态路由协议报文、隧道报文和VPN报文等)需要本机处理时,需要配置安全策略规则保证相应安全域与Local安全域之间的报文互通。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) (可选)配置安全策略的描述信息。
description text
缺省情况下,未配置安全策略的描述信息。
(4) 创建安全策略规则,并进入安全策略规则视图。
rule [ rule-id ] name rule-name
(5) (可选)配置安全策略规则的描述信息。
description text
缺省情况下,未配置安全策略规则的描述信息。
当安全策略规则中未配置任何过滤条件时,则该规则将匹配所有报文。且由于缺省动作为丢弃,当规则未配置动作时,匹配到该规则的报文将会被丢弃。
若规则中已引用对象组的内容为空,则此规则将不能匹配任何报文。
Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全策略。
安全策略规则中不可配置包含用户或用户组的IP地址对象组作为过滤条件,如需过滤用户,推荐直接在安全策略规则中配置用户或用户组作为过滤条件。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源过滤条件。
¡ 配置作为安全策略规则过滤条件的源安全域。
source-zone source-zone-name
缺省情况下,未配置源安全域过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv4地址对象组。
source-ip object-group-name
缺省情况下,未配置源IPv4地址对象组过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv4主机地址。
source-ip-host ip-address
缺省情况下,未配置源IPv4主机地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv4子网地址。
source-ip-subnet ip-address { mask-length | mask }
缺省情况下,未配置源IPv4子网地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv4范围地址。
source-ip-range ip-address1 ip-address2
缺省情况下,未配置源IPv4范围地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源MAC地址对象组。
source-mac object-group-name
缺省情况下,未配置源MAC地址对象组过滤条件。
¡ 配置作为安全策略规则过滤条件的源地区。
source-location location-name
缺省情况下,未配置源地区过滤条件。
¡ 配置作为安全策略规则过滤条件的源地区组。
source-location-group location-group-name
缺省情况下,未配置源地区组过滤条件。
(5) 配置目的过滤条件。
¡ 配置作为安全策略规则过滤条件的目的安全域。
destination-zone destination-zone-name
缺省情况下,未配置目的安全域过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv4地址对象组。
destination-ip object-group-name
缺省情况下,未配置目的IPv4地址对象组过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv4主机地址。
destination-ip-host ip-address
缺省情况下,未配置目的主机IPv4主机地址过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv4子网地址。
destination-ip-subnet ip-address { mask-length | mask }
缺省情况下,未配置目的IPv4子网地址过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv4范围地址。
destination-ip-range ip-address1 ip-address2
缺省情况下,未配置目的IPv4范围地址过滤条件。
¡ 配置作为安全策略规则过滤条件的目的地区。
destination-location location-name
缺省情况下,未配置目的地区过滤条件。
¡ 配置作为安全策略规则过滤条件的目的地区组。
destination-location-group location-group-name
缺省情况下,未配置目的地区组过滤条件。
(6) 配置作为安全策略规则过滤条件的服务对象组。
service { object-group-name | any }
缺省情况下,未配置服务对象组过滤条件。
(7) 配置作为安全策略规则过滤条件的服务端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
缺省情况下,未配置服务端口过滤条件。
(8) 配置应用类过滤条件。
¡ 配置作为安全策略规则过滤条件的应用。
application application-name
缺省情况下,未配置应用过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
¡ 配置作为安全策略规则过滤条件的应用组。
app-group app-group-name
缺省情况下,未配置应用组过滤条件。
(9) 配置终端类过滤条件。
¡ 配置作为安全策略规则过滤条件的终端。
terminal terminal-name
缺省情况下,未配置终端过滤条件。
为使安全策略中配置的终端可以被识别,必须先放行应用所依赖的基础协议报文。
¡ 配置作为安全策略规则过滤条件的终端组。
terminal-group terminal-group-name
缺省情况下,未配置终端组过滤条件。
(10) 配置用户类过滤条件。
¡ 配置作为安全策略规则过滤条件的用户。
user username [ domain domain-name ]
缺省情况下,未配置用户过滤条件。
¡ 配置作为安全策略规则过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置用户组过滤条件。
(11) 配置作为安全策略规则过滤条件的URL过滤分类。
url-category url-category-name
缺省情况下,未配置URL过滤分类过滤条件。
(12) 配置安全策略规则对入接口指定VPN多实例中的报文有效。
vrf vrf-name
缺省情况下,安全策略规则对公网的报文有效。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作。
action { drop | pass }
缺省情况下,安全策略规则动作是丢弃。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则生效的时间段。
time-range time-range-name
缺省情况下,不限制安全策略规则生效的时间。
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行DPI相关业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关业务模块。
此功能仅在安全策略规则动作为允许的情况下才生效。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
此功能用来为匹配某条安全策略规则而生成的稳态会话和长连接会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生成的会话同样生效。
此功能设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话管理模块会话老化时间的详细介绍,请参见“安全配置指导”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基于安全策略规则的会话老化时间。
session aging-time time-value
缺省情况下,未配置基于安全策略规则的会话老化时间。
(5) 配置基于安全策略规则的长连接会话老化时间。
session persistent aging-time time-value
缺省情况下,未配置基于安全策略规则的长连接会话老化时间。
若长连接会话老化时间配置过长,设备会话数量可能会激增,从而导致设备内存使用率过高。
在安全策略中可以配置规则与Track项进行联动,规则与Track项联动后,规则的状态由Track的状态决定。有关Track的详细配置请参见“网络管理和监控配置指导”中的“Track”。
配置安全策略规则与Track项的Negative状态关联后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态关联后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则与Track项联动。
track { negative | positive } track-entry-number
缺省情况下,安全策略规则未与Track项联动。
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理或快速日志输出模块,信息中心模块或快速日志输出模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。有关快速日志输出的详细描述,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 开启对符合过滤条件的报文记录日志信息的功能。
logging enable
缺省情况下,对符合过滤条件的报文记录日志信息的功能处于关闭状态。
此功能用来对匹配规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
开启安全策略规则匹配统计功能时,若指定了period参数,则当到达指定时长后,系统会自动关闭该功能,并删除该配置;若没有指定period参数,则永久开启统计功能,只有执行undo命令后才可以关闭该功能。
在跨VLAN模式Bridge转发的应用场景中,此功能仅统计安全策略和DPI业务丢弃的报文,不统计安全策略和DPI业务允许通过的报文。有关跨VLAN模式Bridge转发的详细介绍,请参见“二层技术-以太网交换配置指导”中的“二层转发”。
(1) 进入系统视图。
system-view
(2) 进入IPv4安全策略视图。
security-policy ip
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 开启安全策略规则匹配统计功能。
counting enable [ period value ]
缺省情况下,安全策略规则匹配统计功能处于关闭状态。
缺省情况下安全策略中不存在规则,设备仅允许Management安全域和Local安全域之间的报文通过。因此需要在如下场景中配置安全策略规则:
· 使设备能够正常处理各安全域之间的报文。
· 当设备接收的报文(如动态路由协议报文、隧道报文和VPN报文等)需要本机处理时,需要配置安全策略规则保证相应安全域与Local安全域之间的报文互通。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) (可选)配置安全策略的描述信息。
description text
缺省情况下,未配置安全策略的描述信息。
(4) 创建安全策略规则,并进入安全策略规则视图。
rule [ rule-id ] name rule-name
(5) (可选)配置安全策略规则的描述信息。
description text
缺省情况下,未配置安全策略规则的描述信息。
当安全策略规则中未配置任何过滤条件时,则该规则将匹配所有报文。且由于缺省动作为丢弃,当规则未配置动作时,匹配到该规则的报文将会被丢弃。
若规则中已引用对象组的内容为空,则此规则将不能匹配任何报文。
Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全策略
安全策略规则中不可配置包含用户或用户组的IP地址对象组作为过滤条件,如需过滤用户,推荐直接在安全策略规则中配置用户或用户组作为过滤条件。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置源过滤条件。
¡ 配置作为安全策略规则过滤条件的源安全域。
source-zone source-zone-name
缺省情况下,未配置源安全域过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv6地址对象组。
source-ip object-group-name
缺省情况下,未配置源IPv6地址对象组过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv6主机地址。
source-ip-host ipv6-address
缺省情况下,未配置源IPv6主机地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv6子网地址。
source-ip-subnet ipv6-address prefix-length
缺省情况下,未配置源IPv6子网地址过滤条件。
¡ 配置作为安全策略规则过滤条件的源IPv6范围地址。
source-ip-range ipv6-address1 ipv6-address2
缺省情况下,未配置源IPv6范围地址过滤条件。
(5) 配置目的过滤条件。
¡ 配置作为安全策略规则过滤条件的目的安全域。
destination-zone destination-zone-name
缺省情况下,未配置目的安全域过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv6地址对象组。
destination-ip object-group-name
缺省情况下,未配置目的IPv6地址对象组过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv6主机地址。
destination-ip-host ipv6-address
缺省情况下,未配置目的主机IPv6主机地址过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv6子网地址。
destination-ip-subnet ipv6-address prefix-length
缺省情况下,未配置目的IPv6子网地址过滤条件。
¡ 配置作为安全策略规则过滤条件的目的IPv6范围地址。
destination-ip-range ipv6-address1 ipv6-address2
缺省情况下,未配置目的IPv6范围地址过滤条件。
(6) 配置作为安全策略规则过滤条件的服务对象组。
service { object-group-name | any }
缺省情况下,未配置服务对象组过滤条件。
(7) 配置作为安全策略规则过滤条件的服务端口。
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]
缺省情况下,未配置服务端口过滤条件。
(8) 配置应用类过滤条件。
¡ 配置作为安全策略规则过滤条件的应用。
application application-name
缺省情况下,未配置应用过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
¡ 配置作为安全策略规则过滤条件的应用组。
app-group app-group-name
缺省情况下,未配置应用组过滤条件。
(9) 配置终端类过滤条件。
¡ 配置作为安全策略规则过滤条件的终端。
terminal terminal-name
缺省情况下,未配置终端过滤条件。
为使安全策略中配置的终端可以被识别,必须先放行应用所依赖的基础协议报文。
¡ 配置作为安全策略规则过滤条件的终端组。
terminal-group terminal-group-name
缺省情况下,未配置终端组过滤条件。
(10) 配置用户类过滤条件。
¡ 配置作为安全策略规则过滤条件的用户。
user username [ domain domain-name ]
缺省情况下,未配置用户过滤条件。
¡ 配置作为安全策略规则过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置用户组过滤条件。
(11) 配置作为安全策略规则过滤条件的URL过滤分类。
url-category url-category-name
缺省情况下,未配置URL过滤分类过滤条件。
(12) 配置安全策略规则对入接口指定VPN多实例中的报文有效。
vrf vrf-name
缺省情况下,安全策略规则对公网的报文有效。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作。
action { drop | pass }
缺省情况下,安全策略规则动作是丢弃。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则生效的时间段。
time-range time-range-name
缺省情况下,不限制安全策略规则生效的时间。
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行DPI相关业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关业务模块。
此功能仅在安全策略规则动作为允许的情况下才生效。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
此功能用来为匹配某条安全策略规则而生成的稳态会话和长连接会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生成的会话同样生效。
此功能设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。有关会话管理模块会话老化时间的详细介绍,请参见“安全配置指导”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置基于安全策略规则的会话老化时间。
session aging-time time-value
缺省情况下,未配置基于安全策略规则的会话老化时间。
(5) 配置基于安全策略规则的长连接会话老化时间。
session persistent aging-time time-value
缺省情况下,未配置基于安全策略规则的长连接会话老化时间。
若长连接会话老化时间配置过长,设备会话数量可能会激增,从而导致设备内存使用率过高。
在安全策略中可以配置规则与Track项进行联动,规则与Track项联动后,规则的状态由Track的状态决定。有关Track的详细配置请参见“网络管理和监控配置指导”中的“Track”。
配置安全策略规则与Track项的Negative状态关联后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态关联后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则与Track项联动。
track { negative | positive } track-entry-number
缺省情况下,安全策略规则未与Track项联动。
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理或快速日志输出模块,信息中心模块或快速日志输出模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。有关快速日志输出的详细描述,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 开启对符合过滤条件的报文记录日志信息的功能。
logging enable
缺省情况下,对符合过滤条件的报文记录日志信息的功能处于关闭状态。
此功能用来对匹配规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
开启安全策略规则匹配统计功能时,若指定了period参数,则当到达指定时长后,系统会自动关闭该功能,并删除该配置;若没有指定period参数,则永久开启统计功能,只有执行undo命令后才可以关闭该功能。
在跨VLAN模式Bridge转发的应用场景中,此功能仅统计安全策略和DPI业务丢弃的报文,不统计安全策略和DPI业务允许通过的报文。有关跨VLAN模式Bridge转发的详细介绍,请参见“二层技术-以太网交换配置指导”中的“二层转发”。
(1) 进入系统视图。
system-view
(2) 进入IPv6安全策略视图。
security-policy ipv6
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 开启安全策略规则匹配统计功能。
counting enable [ period value ]
缺省情况下,安全策略规则匹配统计功能处于关闭状态。
由于安全策略规则缺省按照其被创建的先后顺序进行匹配,因此为了使用户能够灵活调整规则的匹配顺序,可通过本功能来移动规则的位置,从而改变规则的匹配顺序。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 移动安全策略规则。
¡ 通过安全策略规则ID移动规则。
move rule rule-id1 { { after | before } rule-id2 | bottom | down | top | up }
¡ 通过安全策略规则名称移动规则。
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
缺省情况下,系统按照动态时间间隔判断是否需要激活安全策略规则的加速功能,并对本周期内发生变化(新增、删除、修改或移动)的安全策略规则进行加速。
如果希望对发生变化的安全策略规则立即进行加速,可执行accelerate enhanced enable命令手工激活安全策略规则加速功能。
激活加速功能后,若系统判定安全策略规则发生了变化(新增、删除、修改或移动),则会对当前所有的安全策略规则进行重新加速,否则,不会重新加速。
激活安全策略规则加速功能时,内存资源不足会导致安全策略规则加速失败。加速失败后,本间隔内发生变化的安全策略规则未进行加速,从而导致变化的安全策略规则不生效,之前已经加速成功的规则不受影响。在下一个时间间隔到达后,系统会再次尝试对安全策略规则进行加速。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 激活安全策略规则的加速功能。
accelerate enhanced enable
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 禁用安全策略规则。
disable
缺省情况下,安全策略规则处于启用状态。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 重命名安全策略规则。
rule rename old-name new-name
将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。
执行undo命令行时的具体功能如下:
· undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。
· undo group name group-name description命令用来仅删除安全策略组的描述信息。
· undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。
将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。
同一个安全策略组中的安全策略规则类型必须相同。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 创建安全策略组,并将指定的安全策略规则加入此安全策略组。
group name group-name [ from rule-name1 to rule-name2 ] [ disable | enable ] [ description description-text ]
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则所属的安全策略组。
parent-group group-name
通过移动安全策略组可以批量改变安全策略规则的优先级。
如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。
· 如果规则位于策略组中间位置,则不能移动。
· 如果规则位于策略组开始位置,只可以移动到目标规则之前。
· 如果规则位于策略组结束位置,只可以移动到目标规则之后。
仅能在相同类型的安全策略规则或安全策略组之间移动安全策略组。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 移动安全策略组。
group move group-name1 { after | before } { group group-name2 | rule rule-name }
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 重命名安全策略组。
group rename old-name new-name
在快速日志输出模块中开启生成安全策略国家电网日志功能后(即执行customlog format security-policy sgcc命令),设备会在每天指定的时间以国家电网日志的格式发送此时所有处于生效状态安全策略规则的配置信息。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 配置每天发送安全策略内容日志的时间。
security-policy config-logging send-time time
缺省情况下,发送安全策略内容日志的时间为每天的零点。
若无需关注或记录安全策略配置发生的变更,则可关闭安全策略配置变更日志输出功能。该功能关闭后,安全策略配置发生变更时将不再生成配置变更日志信息。
(1) 进入系统视图。
system-view
(2) 开启安全策略配置变更日志输出功能。
security-policy config-changelog enable
缺省情况下,安全策略配置变更日志输出功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示安全策略的配置信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除安全策略的统计信息。
非缺省vSystem不支持部分显示和维护命令,具体情况请见本特性的命令参考。
表1-5 安全策略显示和维护
操作 |
命令 |
显示安全策略的配置信息 |
display security-policy { ip | ipv6 } [ brief | rule name rule-name ] |
显示指定查询条件的IPv4安全策略的配置信息 |
display security-policy ip query { destination-ip { destination-ip-address | any } | destination-zone { destination-zone-name | any } | protocol { protocol-number | any | { tcp | udp | sctp } [ source-port source-port | destination-port destination-port ] * | icmp [ icmp-type icmp-type [ icmp-code icmp-code ] ] } | source-ip { source-ip-address | any } | source-zone { source-zone-name | any } } * [ brief ] |
显示指定查询条件的IPv6安全策略的配置信息 |
display security-policy ipv6 query { destination-ip { destination-ipv6-address | any } | destination-zone { destination-zone-name | any } | protocol { protocol-number | any | { tcp | udp | sctp } [ source-port source-port | destination-port destination-port ] * | icmpv6 [ icmpv6-type icmpv6-type [ icmpv6-code icmpv6-code ] ] } | source-ip { source-ipv6-address | any } | source-zone { source-zone-name | any} } * [ brief ] |
显示安全策略的统计信息 |
display security-policy statistics { ip | ipv6 } [ rule rule-name ] |
显示对象策略转换为安全策略的转换结果 |
display security-policy switch-result |
清除安全策略的统计信息 |
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ] |
· 某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
图1-6 基于IP地址的安全策略配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域
# 请根据组网图中规划的信息,创建安全域,并将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
(3) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点,具体配置步骤如下。
[Device] time-range work 08:00 to 18:00 working-day
(4) 配置安全策略
# 配置名称为president-database的安全策略规则,允许总裁办在任意时间通过HTTP协议访问财务数据库服务器,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-0-president-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-0-president-database] service http
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
# 配置名称为finance-database的安全策略规则,只允许财务部在工作时间通过HTTP协议访问财务数据库服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-1-finance-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-finance-database] service-port tcp destination eq 80
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
# 配置名称为market-database的安全策略规则,禁止市场部在任何时间通过HTTP协议访问财务数据库服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip-subnet 192.168.3.0 24
[Device-security-policy-ip-2-market-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-market-database] service http
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
# 激活安全策略规则的加速功能,具体配置步骤如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成后,总裁办可以在任意时间访问财务数据库服务器的Web服务,财务部仅可以在工作时间访问财务数据库服务器的Web服务,其他部门任何时间均不可以访问财务数据库服务器的Web服务。
某公司内的各部门之间通过Device实现互连,公司内网中部署了域名为www.example.com的Web服务器用于公司财务管理,该域名已在内网DNS服务器中注册。通过配置安全策略,实现如下需求:
· 允许财务部通过HTTP协议访问财务管理Web服务器。
· 禁止市场部在任何时间通过HTTP协议访问财务管理Web服务器。
图1-7 基于域名的安全策略配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域
# 请根据组网图中规划的信息,创建安全域,并将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name web
[Device-security-zone-web] import interface gigabitethernet 1/0/1
[Device-security-zone-web] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/2
[Device-security-zone-market] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name dns
[Device-security-zone-dns] import interface gigabitethernet 1/0/4
[Device-security-zone-dns] quit
(3) 配置对象
# 创建名为web的IP地址对象组,并定义其主机名称为www.example.com,具体配置步骤如下。
[Device] object-group ip address web
[Device-obj-grp-ip-web] network host name www.example.com
[Device-obj-grp-ip-web] quit
(4) 配置DNS服务器地址
# 指定DNS服务器的IP地址为10.10.10.10,确保Device可以获取到主机名对应的IP地址,具体配置步骤如下。
[Device] dns server 10.10.10.10
(5) 配置安全策略
# 配置名称为dnslocalout的安全策略规则,允许Device访问DNS服务器,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name dnslocalout
[Device-security-policy-ip-0-dnslocalout] source-zone local
[Device-security-policy-ip-0-dnslocalout] destination-zone dns
[Device-security-policy-ip-0-dnslocalout] destination-ip-host 10.10.10.10
[Device-security-policy-ip-0-dnslocalout] action pass
[Device-security-policy-ip-0-dnslocalout] quit
# 配置名称为host-dns的安全策略规则,允许内网主机访问DNS服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name host-dns
[Device-security-policy-ip-1-host-dns] source-zone finance
[Device-security-policy-ip-1-host-dns] source-zone market
[Device-security-policy-ip-1-host-dns] destination-zone dns
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-1-host-dns] destination-ip-host 10.10.10.10
[Device-security-policy-ip-1-host-dns] service dns-udp
[Device-security-policy-ip-1-host-dns] action pass
[Device-security-policy-ip-1-host-dns] quit
# 配置名称为finance-web的安全策略规则,允许财务部通过HTTP协议访问财务管理Web服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name finance-web
[Device-security-policy-ip-2-finance-web] source-zone finance
[Device-security-policy-ip-2-finance-web] destination-zone web
[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-2-finance-web] destination-ip web
[Device-security-policy-ip-2-finance-web] service http
[Device-security-policy-ip-2-finance-web] action pass
[Device-security-policy-ip-2-finance-web] quit
# 配置名称为market-web的安全策略规则,禁止市场部在任何时间通过HTTP协议访问财务管理Web服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name market-web
[Device-security-policy-ip-3-market-web] source-zone market
[Device-security-policy-ip-3-market-web] destination-zone web
[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-3-market-web] destination-ip web
[Device-security-policy-ip-3-market-web] service http
[Device-security-policy-ip-3-market-web] action drop
[Device-security-policy-ip-3-market-web] quit
# 激活安全策略规则的加速功能,具体配置步骤如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成后,财务部可以访问财务管理服务器的Web服务,市场部任何时间均不可以访问财务管理服务器的Web服务。
某公司内的各部门之间通过Device实现互连,公司内网中部署了域名为www.example.com、finance.example.com、bbs.example.com等多个Web服务器,这些域名已在内网DNS服务器中注册。通过配置安全策略,实现如下需求:
· 基于模糊域名允许财务部通过HTTP协议访问所有Web服务器。
· 基于精确域名允许市场部通过HTTP协议访问bbs.example.com服务器。
图1-8 基于模糊域名的安全策略配置组网图
(1) 配置内网主机的DNS服务器地址为Device的IP地址
(2) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,创建安全域,并将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name web
[Device-security-zone-web] import interface gigabitethernet 1/0/1
[Device-security-zone-web] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/2
[Device-security-zone-market] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name dns
[Device-security-zone-dns] import interface gigabitethernet 1/0/4
[Device-security-zone-dns] quit
(4) 配置对象组
# 创建名为web的IP地址对象组,并定义其主机名称为*.example.com,即匹配所有包含“.example.com”的域名地址。具体配置步骤如下。
[Device] object-group ip address web
[Device-obj-grp-ip-web] network host name *.example.com
[Device-obj-grp-ip-web] quit
# 创建名为bbs的IP地址对象组,并定义其主机名称为bbs.example.com。具体配置步骤如下。
[Device] object-group ip address bbs
[Device-obj-grp-ip-bbs] network host name bbs.example.com
[Device-obj-grp-ip-bbs] quit
(5) 配置DNS
# 开启DNS代理功能。
[Device] dns proxy enable
# 指定DNS服务器的IP地址为10.10.10.10,确保Device可以获取到主机名对应的IP地址,具体配置步骤如下。
[Device] dns server 10.10.10.10
(6) 配置安全策略
# 配置名称为local-dns的安全策略规则,允许Device访问DNS服务器,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name local-dns
[Device-security-policy-ip-0-local-dns] source-zone local
[Device-security-policy-ip-0-local-dns] destination-zone dns
[Device-security-policy-ip-0-local-dns] destination-ip-host 10.10.10.10
[Device-security-policy-ip-0-local-dns] service dns-udp
[Device-security-policy-ip-0-local-dns] service dns-tcp
[Device-security-policy-ip-0-local-dns] action pass
[Device-security-policy-ip-0-local-dns] quit
# 配置名称为host-localdns的安全策略规则,允许内网主机访问设备DNS代理,具体配置步骤如下。
[Device-security-policy-ip] rule name host-localdns
[Device-security-policy-ip-1-host-localdns] source-zone finance
[Device-security-policy-ip-1-host-localdns] source-zone market
[Device-security-policy-ip-1-host-localdns] destination-zone local
[Device-security-policy-ip-1-host-localdns] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-1-host-localdns] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-1-host-localdns] service dns-udp
[Device-security-policy-ip-1-host-localdns] service dns-tcp
[Device-security-policy-ip-1-host-localdns] action pass
[Device-security-policy-ip-1-host-dns] quit
# 配置名称为finance-web的安全策略规则,允许财务部通过HTTP协议访问所有Web服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name finance-web
[Device-security-policy-ip-2-finance-web] source-zone finance
[Device-security-policy-ip-2-finance-web] destination-zone web
[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24
[Device-security-policy-ip-2-finance-web] destination-ip web
[Device-security-policy-ip-2-finance-web] service http
[Device-security-policy-ip-2-finance-web] action pass
[Device-security-policy-ip-2-finance-web] quit
# 配置名称为market-web的安全策略规则,允许市场部通过HTTP协议访问bbs.example.com服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name market-web
[Device-security-policy-ip-3-market-web] source-zone market
[Device-security-policy-ip-3-market-web] destination-zone web
[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24
[Device-security-policy-ip-3-market-web] destination-ip bbs
[Device-security-policy-ip-3-market-web] service http
[Device-security-policy-ip-3-market-web] action pass
[Device-security-policy-ip-3-market-web] quit
# 激活安全策略规则的加速功能,具体配置步骤如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成后,财务部可以通过HTTP协议访问所有Web服务器,市场部仅可以通过HTTP协议访问bbs.example.com服务器。
某公司内的各地区分部之间通过Device实现互连,公司北京总部部署了一台服务器用于公司运营管理,实现要求仅允许位于上海、杭州的分部员工访问该服务器。
图1-9 基于地区的安全策略配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 123.50.11.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Internet的下一跳IP地址为123.50.12.254,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 0.0.0.0 0 123.50.12.254
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,创建安全域,并将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-trust] import interface gigabitethernet 1/0/1
[Device-security-zone-trust] quit
[Device] security-zone name untrust
[Device-security-zone-untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-untrust] quit
(4) 配置安全策略
# 配置名称为untrust-trust的安全策略规则,允许位于上海、杭州的分部员工访问服务器,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-0-untrust-trust] source-zone untrust
[Device-security-policy-ip-0-untrust-trust] destination-zone trust
[Device-security-policy-ip-0-untrust-trust] source-location shanghai
[Device-security-policy-ip-0-untrust-trust] source-location hangzhou
[Device-security-policy-ip-0-untrust-trust] destination-ip-host 123.50.11.5
[Device-security-policy-ip-0-untrust-trust] action pass
[Device-security-policy-ip-0-untrust-trust] quit
# 激活安全策略规则的加速功能,具体配置步骤如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
配置完成后,位于上海、杭州的分部员工可以访问服务器,其他地区的分部员工无法访问服务器。
关于基于用户的安全策略典型配置举例,请参见“安全配置指导”中的“用户身份识别与管理”。
某公司由于业务的快速发展,网络环境也随之发生了很大变化。为了适用网络环境的变化,公司需要将设备的软件版本升级到支持安全策略的软件版本,同时也需要使用安全策略功能替换原来的对象策略功能。
但是由于设备上已配置大量的对象策略规则,无论将这些对象策略规则一条一条的手动切换为安全策略规则,还是重新设计和配置安全策略规则,这都将是一项非常复杂且耗时耗力的工作。为解决以上问题,可以使用设备提供的对象策略切换功能,将对象策略配置快速切换到对应的安全策略配置。
图1-10 将对象策略转换为安全策略配置组网图
(1) 在将对象策略配置转换为安全策略配置前,请先按照1.11.3 配置准备中的检查项,在待转换的配置文件中逐一排查和更正后,再进行下一步操作
(2) 将设备的软件版本升级到支持安全策略的软件版本
(3) 进行配置转换
# 进入系统视图。
<Device> system-view
# 将对象策略配置转换为安全策略配置,待转换配置文件的名称为startup.cfg(此处配置文件的名称仅为举例,请以实际情况为准)。
[Device] security-policy switch-from object-policy startup.cfg startup_secp.cfg
Configuration switching begins...
Object policies in the specified configuration file have been switched to securi
ty policies.
This command will reboot the device. Continus? [Y/N]:y
[Device]
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Press Ctrl+T to start heavy memory test
# 转换前的对象策略对流量实现的控制效果为:允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务,禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。
· 对象策略的相关配置
# 有关对象策略的配置内容如下:
#
object-group ip address database
0 network subnet 192.168.0.0 255.255.255.0
#
object-group ip address finance
0 network subnet 192.168.2.0 255.255.255.0
#
object-group ip address market
0 network subnet 192.168.3.0 255.255.255.0
#
object-group ip address president
0 network subnet 192.168.1.0 255.255.255.0
#
object-group service web
0 service tcp destination eq 80
#
object-policy ip finance-database
rule 0 pass source-ip finance destination-ip database service web time-range wo
rk
#
object-policy ip market-database
rule 0 drop source-ip market destination-ip database service web
#
object-policy ip president-database
rule 0 pass source-ip president destination-ip database service web
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name database
import interface GigabitEthernet1/0/1
#
security-zone name finance
import interface GigabitEthernet1/0/3
#
security-zone name market
import interface GigabitEthernet1/0/4
#
security-zone name president
import interface GigabitEthernet1/0/2
#
zone-pair security source finance destination database
object-policy apply ip finance-database
#
zone-pair security source market destination database
object-policy apply ip market-database
#
zone-pair security source president destination database
object-policy apply ip president-database
#
· 安全策略的相关配置
# 转换后的安全策略对流量的控制,同样可以达到原对象策略所控制的效果。
# 转换完成后安全策略配置内容如下:
#
object-group ip address database
0 network subnet 192.168.0.0 255.255.255.0
#
object-group ip address finance
0 network subnet 192.168.2.0 255.255.255.0
#
object-group ip address market
0 network subnet 192.168.3.0 255.255.255.0
#
object-group ip address president
0 network subnet 192.168.1.0 255.255.255.0
#
object-group service web
0 service tcp destination eq 80
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name database
import interface GigabitEthernet1/0/1
#
security-zone name finance
import interface GigabitEthernet1/0/3
#
security-zone name market
import interface GigabitEthernet1/0/4
#
security-zone name president
import interface GigabitEthernet1/0/2
#
zone-pair security source finance destination database
#
zone-pair security source market destination database
#
zone-pair security source president destination database
#
security-policy ip
rule 0 name finance-database-0
action pass
time-range work
source-zone finance
destination-zone database
source-ip finance
destination-ip database
service web
rule 1 name market-database-1
source-zone market
destination-zone database
source-ip market
destination-ip database
service web
rule 2 name president-database-2
action pass
source-zone president
destination-zone database
source-ip president
destination-ip database
service web
#
· 所有的设备都运行OSPF,并将整个自治系统划分为3个区域。
· 其中Device A和Device B作为ABR来转发区域之间的路由。
· 配置完成后,每台路由器都应学到AS内的到所有网段的路由。
图1-11 安全策略保证OSPF邻接关系建立配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
(3) 配置安全策略
a. 配置安全策略放行Untrust与Local安全域之间的流量,用于设备之间可以建立OSPF邻居关系。
# 配置名称为ospflocalin的安全策略规则,使Device A可以接收Device B发送的OSPF协议报文,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name ospflocalin
[DeviceA-security-policy-ip-0-ospflocalin] source-zone untrust
[DeviceA-security-policy-ip-0-ospflocalin] destination-zone local
[DeviceA-security-policy-ip-0-ospflocalin] service ospf
[DeviceA-security-policy-ip-0-ospflocalin] action pass
[DeviceA-security-policy-ip-0-ospflocalin] quit
# 配置名称为ospflocalout的安全策略规则,使Device A可以向Device B发送OSPF协议报文,具体配置步骤如下。
[DeviceA-security-policy-ip] rule name ospflocalout
[DeviceA-security-policy-ip-1-ospflocalout] source-zone local
[DeviceA-security-policy-ip-1-ospflocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-ospflocalout] service ospf
[DeviceA-security-policy-ip-1-ospflocalout] action pass
[DeviceA-security-policy-ip-1-ospflocalout] quit
b. 配置安全策略放行Untrust与Trust安全域之间的流量,放行Area1与Area2之间的流量。
# 配置名称为trust-untrust的安全策略规则,使Trust安全域到Untrust安全域的报文可通,具体配置步骤如下。
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-ip-subnet 2.2.2.0 24
[DeviceA-security-policy-ip-2-trust-untrust] destination-ip-subnet 3.3.3.0 24
[DeviceA-security-policy-ip-2-trust-untrust] action pass
[DeviceA-security-policy-ip-2-trust-untrust] quit
# 配置名称为untrust-trust的安全策略规则,使Untrust安全域到Trust安全域的报文可通,具体配置步骤如下。
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-3-untrust-trust] source-ip-subnet 3.3.3.0 24
[DeviceA-security-policy-ip-3-untrust-trust] destination-ip-subnet 2.2.2.0 24
[DeviceA-security-policy-ip-3-untrust-trust] action pass
[DeviceA-security-policy-ip-3-untrust-trust] quit
[DeviceA-security-policy-ip] quit
(4) 配置OSPF基本功能
[DeviceA] router id 2.2.2.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] area 1
[DeviceA-ospf-1-area-0.0.0.1] network 2.2.2.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.1] quit
[DeviceA-ospf-1] quit
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 3.3.3.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/2] quit
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
(3) 配置安全策略
a. 配置安全策略放行Untrust与Local安全域之间的流量,用于设备之间可以建立OSPF邻居关系。
# 配置名称为ospflocalin的安全策略规则,使Device B可以接收Device A发送的OSPF协议报文,具体配置步骤如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name ospflocalin
[DeviceB-security-policy-ip-0-ospflocalin] source-zone untrust
[DeviceB-security-policy-ip-0-ospflocalin] destination-zone local
[DeviceB-security-policy-ip-0-ospflocalin] service ospf
[DeviceB-security-policy-ip-0-ospflocalin] action pass
[DeviceB-security-policy-ip-0-ospflocalin] quit
# 配置名称为ospflocalout的安全策略规则,使Device B可以向Device A发送OSPF协议报文,具体配置步骤如下。
[DeviceB-security-policy-ip] rule name ospflocalout
[DeviceB-security-policy-ip-1-ospflocalout] source-zone local
[DeviceB-security-policy-ip-1-ospflocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-ospflocalout] service ospf
[DeviceB-security-policy-ip-1-ospflocalout] action pass
[DeviceB-security-policy-ip-1-ospflocalout] quit
b. 配置安全策略放行Untrust与Trust安全域之间的流量,放行Area1与Area2之间的流量。
# 配置名称为trust-untrust的安全策略规则,使Trust安全域和Untrust安全域之间的报文互通,具体配置步骤如下。
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 3.3.3.0 24
[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 2.2.2.0 24
[DeviceB-security-policy-ip-2-trust-untrust] action pass
[DeviceB-security-policy-ip-2-trust-untrust] quit
# 配置名称为untrust-trust的安全策略规则,使Untrust安全域到Trust安全域的报文可通,具体配置步骤如下。
[DeviceB-security-policy-ip] rule name untrust-trust
[DeviceB-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-3-untrust-trust] source-ip-subnet 2.2.2.0 24
[DeviceB-security-policy-ip-3-untrust-trust] destination-ip-subnet 3.3.3.0 24
[DeviceB-security-policy-ip-3-untrust-trust] action pass
[DeviceB-security-policy-ip-3-untrust-trust] quit
[DeviceB-security-policy-ip] quit
(4) 配置OSPF基本功能
[DeviceB] router id 3.3.3.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] area 2
[DeviceB-ospf-1-area-0.0.0.2] network 3.3.3.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.2] quit
[DeviceB-ospf-1] quit
# 查看Device A的OSPF邻居详细信息。
[DeviceA] display ospf peer verbose
OSPF Process 1 with Router ID 2.2.2.1
Neighbors
Area 0.0.0.0 interface 1.1.1.1(GigabitEthernet1/0/1)'s neighbors
Router ID: 3.3.3.1 Address: 1.1.1.2 GR State: Normal
State: Full Mode: Nbr is master Priority: 1
DR: 1.1.1.1 BDR: 1.1.1.2 MTU: 0
Options is 0x42 (-|O|-|-|-|-|E|-)
Dead timer due in 32 sec
Neighbor is up for 00:07:08
Authentication Sequence: [ 0 ]
Neighbor state change count: 5
BFD status: Disabled
# 查看Device A的OSPF路由信息。
[DeviceA] display ospf routing
OSPF Process 1 with Router ID 2.2.2.1
Routing Table
Routing for network
Destination Cost Type NextHop AdvRouter Area
3.3.3.0/24 2 Inter 1.1.1.2 3.3.3.1 0.0.0.0
2.2.2.0/24 1 Stub 0.0.0.0 2.2.2.1 0.0.0.1
1.1.1.0/24 1 Transit 0.0.0.0 2.2.2.1 0.0.0.0
Total nets: 3
Intra area: 2 Inter area: 1 ASE: 0 NSSA: 0
# Area 1中的主机与Area 2中的主机可以互相Ping通。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!