H3C SecPath ACG1000系列应用控制网关 Web配置指导(F6610)-6W103

27-IPv6及IPv6控制策略

本章节下载  (774.48 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Web_Configure/ACG1000_WCG(F6610)-6W103/202009/1334475_30005_0.htm

27-IPv6及IPv6控制策略


1 IPv6配置

1.1  IPv6 路由通告

通过菜单“网络管理 > IPv6网络 > IPv6路由通告”,进入路由通告信息显示页面。如图1-1所示。

图1-1 IPv6路由通告信息显示

 

 

点击<编辑>按钮,进入如图1-2所示的路由通告信息配置页面。各个配置项的含义如表1-1所示。

图1-2 路由通告配置页面

 

 

表1-1 路由通告信息配置项含义描述表

标题项

说明

接口名称

配置发布路由通告的接口名称。

发布路由通告

是否发布路由通告,如果选中,则发布,否则不发布。

发布间隔

配置发布路由通告的最大间隔,最小间隔是最大时间间隔的三分之一。

默认路由器时间

PC把发布通告的路由器作为默认路由的下一跳的时间。

邻居可达时间

通告的邻居可达时间,如果为0,则表示路由器不指定邻居可达时间。

NS重传间隔

通告的NS重传间隔,如果为0,则表示路由器不指定NS重传间隔。

MTU

通告的链路MTU值,如果为0,则表示不通告链路MTU。

跳数

通告的hop-limit值。

被管理标记

如果选中被管理标记,则表示PC不使用通告的前缀进行无状态地址自动配置。

其它标记

如果选中其它配置标记,则表示PC应该向DHCPv6服务器请求DNS配置信息。

 

如需添加新的路由前缀,可点击“前缀信息配置”框中的<新建>按钮,进入如图1-3所示的配置页面。通过该页面添加前缀信息,各个配置项的含义如表1-2所示。

图1-3 前缀信息配置页面

 

 

表1-2 前缀信息各个配置项含义描述表

标题项

说明

路由前缀

通告的网段前缀,PC可使用该前缀进行无状态地址自动配置。

有效生存期

通过该网段前缀进行无状态地址自动配置生成地址后,该地址的有效时间。

首选生存期

通过该网段前缀进行无状态地址自动配置生成地址后,该地址的优先使用时间。

在链路标记

如果选中该标记,则表示可使用该前缀进行判定是否与其它主机在同一链路上。

自治标记

如果选中该标记,则表示可使用该前缀进行无状态地址自动配置。

 

1.2  IPv6隧道

通过菜单“网络管理 > IPv6网络 > IPv6隧道”,进入IPv6隧道页面,如图1-4所示。在该页面上可以新建、编辑、删除、浏览IPv6隧道。

图1-4 IPv6隧道概览页面

 

 

点击<新建>按钮,进入IPv6隧道的新建页面,如图1-5所示。各个配置项的含义如表1-3所示。

图1-5 IPv6隧道新建页面

 

 

表1-3 IPv6隧道各个配置项含义描述表

标题项

说明

名称

tunnel前缀加上tunnel id即为tunnel接口的名称。

隧道模式

该隧道采用的隧道模式,有三种模式,分别为:

·     手动隧道;

·     isatap隧道;

·     6to4隧道。

隧道源

指定封装隧道报文时,用哪个地址作为外层的源IPv4地址。

可以使用指定的地址作为隧道源地址,也可以使用某个接口的主IP地址作为隧道源地址。

源地址

指定封装隧道报文时,作为外层封装的IPv4报文的源地址。

隧道目的

指定封装隧道报文时,作为外层封装的IPv4报文的目的地址。

IPv6地址

配置隧道接口的IPv6主地址,只有隧道模式选择istap模式才需要配置。

 

点击<提交>按钮,提交配置。提交配置后可在如图1-6所示的页面上查看配置的IPv6隧道信息。

图1-6 IPv6隧道信息

 

 

点击<编辑>按钮,可对选中条目进行编辑。

点击<删除>按钮,可对选中条目进行删除。

1.3  IPv6静态路由

通过菜单“网络管理 > IPv6网络 > IPv6静态路由”,进入IPv6静态路由页面,如图1-7所示。在该页面上可以新建、删除、浏览IPv6静态路由。

图1-7 IPv6静态路由页面

 

 

点击<新建>按钮,进入IPv6静态路由的新建页面,如图1-8所示。各个配置项的含义如表1-4所示。

图1-8 IPv6静态路由新建页面

 

 

表1-4 IPv6静态路由各项配置含义描述表

标题项

说明

目的前缀

静态路由的目的网络前缀。

掩码长度

静态路由的目的网络的前缀长度。

下一跳/出接口

静态路由的下一跳,为IP地址或接口。

下一跳

静态路由的下一跳使用指定的地址作为网关地址。

出接口

静态路由的下一跳使用指定的接口作为下一跳的出接口。

 

点击<提交>按钮,提交配置。提交配置后可在如图1-9所示的页面上查看配置的IPv6静态路由信息。

图1-9 IPv6静态路由信息

 

 

点击<删除>按钮,可对选中条目进行删除。

说明

:该图标表示该条静态路由有效。

:该图标表示该条静态路由无效。

 

1.4  IPv6路由表

通过菜单“网络管理 > IPv6网络 > IPv6路由表”,进入IPv6路由表,如图1-10所示。在该页面上可以浏览所有IPv6路由。

图1-10 IPv6路由表

 

 

说明

:该图标表示该条静态路由有效。

:该图标表示该条静态路由无效。

 

1.5  IPv6异常包攻击防御

通过菜单“威胁防御 > 攻击防护 > 异常包攻击防御 > IPv6异常包攻击防御”,进入IPv6异常包攻击防御,如图1-11所示。在该页面上可以配置IPv6异常包攻击防御。各个配置项的含义如表1-5所示。

图1-11 IPv6异常包攻击防御配置页面

 

 

表1-5 IPv6异常包攻击防御配置项含义描述表

标题项

说明

Winnuke

winnuke报文攻击。

Land-Base

Land-base报文攻击。

TCP flag

异常的TCP flag报文攻击。

Fraggle

fraggle报文攻击。

IP spoof

IP地址欺骗攻击。

 

1.6  IPV6控制策略

IPv6控制策略对通过设备的源接口,目的接口,源ip,目的ip,服务,用户,以及应用七元组进行访问控制。

1.6.1  IPv6控制策略概览

通过菜单“上网行为管理 > IPv6控制策略”,进入IPv6控制策略概览页面,如图1-12所示。在该页面上可以新建、删除、启用、禁用、优先策略,显示页面各项含义如表1-6所示。

 

图1-12 IPv6控制策略概览页面

 

表1-6 IPv6控制策略显示页面各项参数含义表

标题项

说明

状态

策略的状态:

·     说明: http://192.168.4.63/webui/images/default/icons/icon_enable.gif表示策略启用和时间生效

·     http://192.168.4.63/webui/images/default/icons/icon_disable.gif表示策略禁用和时间失效

ID

IPv6控制策略ID。

行为

IPv6控制策略行为配置允许或拒绝。

用户

匹配IPV6控制策略的用户对象,可以在策略外点进去单独进行编辑。

源接口/域

匹配IPV6控制策略的源接口/域,可以在策略外点进去单独进行编辑。

目的接口/域

匹配IPV6控制策略的目的接口/域,可以在策略外点进去单独进行编辑。

源地址

匹配IPV6控制策略的源地址,可以在策略外点进去单独进行编辑。

目的地址

匹配IPV6控制策略的目的地址,可以在策略外点进去单独进行编辑。

应用

匹配IPV6控制策略的应用对象,可以在策略外点击进去单独进行编辑。

描述

IPV6控制策略描述。

匹配次数

匹配IPV6控制策略的次数。

应用安全

如果显示图标上网行为策略,表示已经匹配了应用审计或URL审计规则。

时间

匹配IPV6控制策略的时间对象。

日志

IPv6控制策略配置拒绝行为是否记录日志。

操作

*:对当前IPV6控制策略进行编辑修改操作。

:对当前IPV6控制策略进行删除操作。

 

1.6.2  IPv6控制策略配置

点击<新建>按钮,进入IPv6控制策略的配置页面,如图1-13所示。各个配置项的含义如表1-7所示。

图1-13 IPv6控制策略配置页面

 

表1-7 IPv6控制策略各个配置项含义描述表

标题项

说明

启用

策略启用和禁用:

·     勾选,表示开启策略

·     不勾选,表示禁用策略。

行为

策略的行为是:

·     允许,对匹配条件的会话进行放通。

·     拒绝,阻断命中匹配条件的会话。

描述

IPv6控制策略描述。

用户

匹配IPv6控制策略的用户对象。

接口

IPv6控制策略指定的源接口/域和目的接口/域。

源地址

匹配IPv6控制策略的源地址。

目的地址

匹配IPv6控制策略的目的地址。

服务

IPv6控制策略匹配的服务对象。

应用

IPv6控制策略匹配的应用对象。

 

1.6.3  IPv6控制策略URL过滤配置

单击“URL过滤”标签页,进入URL过滤配置页面,如图1-14所示。

图1-14 IPv6控制策略URL过滤配置页面

 

IPv6控制策略URL过滤配置页面各项参数含义,如表1-8所示。

表1-8 IPv6控制策略URL过滤配置页面各项参数含义表

标题项

说明

URL控制

URL控制策略可以基于URL预定义分类和自定义URL进行配置。

URL控制策略支持增、删、改、查、启用、禁用、优先级调整操作。

URL控制策略处理动作有允许和拒绝:

·     允许,表示放通该策略配置的URL对象;

·     拒绝,表示阻断该策略配置的URL对象;

恶意URL

对恶意URL进行过滤或不过滤配置:

·     过滤,表示阻断恶意URL。

·     不过滤,表示对恶意URL不进行处理。

 

1.6.4  IPv6控制策略应用过滤配置

单击“应用过滤”标签页,进入应用过滤配置页面,如图1-15所示。

图1-15 IPv6控制策略应用过滤配置页面

 

IPv6控制策略应用过滤配置页面各项参数含义,如表1-9所示。

表1-9 IPv6控制策略应用过滤配置页面各项参数含义表

标题项

说明

应用过滤

应用过滤策略可以基于应用或应用标签进行控制。

应用过滤策略支持增、删、改、查、启用、禁用、优先级调整操作。

应用过滤策略处理动作有允许和拒绝:

允许,表示放通该策略配置的应用对象;

拒绝,表示阻断该策略配置的应用对象;

 

1.6.5  IPv6控制策略高级配置

单击“高级配置”标签页,进入高级配置页面,如图1-16所示。

图1-16 IPv6控制策略高级配置页面

高级配置页面可以针对IPv6控制策略配置选择具体的生效时间对象。

 

1.6.6  启用禁用IPv6控制策略

通过菜单“上网行为管理 > IPv6控制策略”,进入IPv6控制策略显示页面,如图1-17所示。

勾选要启用或者禁用的IPv6控制策略,单击<启用>按钮或<禁用>按钮可以启动或禁用该IPv6控制策略。

图1-17 IPv6控制策略启用禁用

1.6.7  IPv6控制策略优先级配置

通过菜单“上网行为管理 > IPv6控制策略”,进入IPv6控制策略显示页面,选择需要调整的IPv6控制策略,点击<优先级>按钮,进入IPv6控制策略优先级配置页面,如图1-18所示。

图1-18 IPv6控制策略优先级配置

 

IPV6控制策略优先级详细配置说明,如表1-10所示。

表1-10 IPv6控制策略优先级配置

标题项

说明

被移动的策略ID

被移动的策略ID。

目标位置

移动后的位置:

·     策略最前指移动到所有策略的最前面。

·     策略ID之前指移动到某条固定的策略之前。

·     策略ID之后指移动到某条固定的策略后面。

·     策略最后指移动到所有策略的后面。

目标位置策略ID

参考策略ID。

 

1.6.8  IPv6控制策略查询

通过菜单“上网行为管理 >IPv6控制策略”,进入IPv6控制策略显示页面,点击<查询>按钮,进入IPv6控制策略查询页面,如图1-19所示。

图1-19 IPv6控制策略查询页面

 

IPV6控制策略查询项查询条件说明,如表1-11所示。

表1-11 IPV6控制策略查询

标题项

说明

匹配ID

被搜索的策略ID。

源接口

策略所选择的源接口。

源地址

策略所配置包含该地址的地址对象(可基于地址对象、IP地址搜索)。

用户

策略所选择的用户对象。

目的接口

策略所选择的目的接口。

目的地址

策略所配置包含该地址的地址对象(可基于地址对象、IP地址搜索)。

服务

策略所选择的服务对象。

描述

策略所对应的描述信息。

 

1.6.9  IPv6控制策略默认规则配置

通过菜单“上网行为管理 >IPv6控制策略”,进入IPv6控制策略显示页面,页面上方有默认规则选项,如图1-20所示。

图1-20 IPv6控制策略默认规则配置

IPv6控制策略默认规则默认为“允许”,可以根据需求选择配置“拒绝”。当设备ipv6 enable服务启用后,默认规则优先级较低,在没有配置具体IPv6控制策略或者未匹配到已配置的IPv6控制策略的情况下,会匹配默认规则。

 

1.7  典型配置举例

1.7.1  路由通告配置举例

1. 组网需求

要求设备发布路由通告信息,对网络内的主机进行无状态地址自动配置。

2. 组网图

图1-21 路由通告配置组网图

 

3. 配置思路

·     在设备的接口ge0上配置RA,发布前缀为3004::/64的前缀。

·     HostA和HostB收到设备的RA信息,自动生成前缀为3004::1/64的IPv6地址。

4. 配置步骤

图1-22所示配置路由通告。

图1-22 配置路由通告

 

5. 配置验证

在设备上使用display ipv6 rtadv-conf 验证配置结果。

host# display ipv6 rtadv-conf ge0

ipv6 nd rtadv disable (suppress ra)

 ---------------------------------------------------

 Field-name                Value              Units

 ---------------------------------------------------

 link-mtu                  0             byte

 hop-limit                 64            -

 ra-maxinterval            600           second

 ra-mininterval            198           second

 reachable-time            0             millisecond

 ns-retrans-interval       0             millisecond

 other-config-flag         false         -

 managed-config-flag       false         -

 default-rt-lifetime       1800          second

 ----------------------------------------------------------------------------------------

 Prefix                  Valid-lifetime       Preferred-lifetime     On-link    Autonomous ----------------------------------------------------------------------------------------

 3004::/64               2592000              604800                 true       true

1.7.2  IPv6隧道配置举例

1. 组网需求

图1-23所示,两个IPv6网络分别通过设备 A和设备 B与IPv4网络连接,设备 A与设备 B之间路由可达,要求在设备 A和设备 B之间建立IPv6手动隧道,使两个IPv6网络可以互通。

2. 组网图

图1-23 IPv6手动隧道组网图

 

3. 配置步骤

(1)     按照图1-23组网。

(2)     设备 A配置IPv6手动隧道。如图1-24所示。

图1-24 设备 A配置页面

 

 

(3)     配置设备 B手动隧道。如图1-25所示。

图1-25 配置设备 B手动隧道

 

 

(4)     配置主机。

配置Host A的IPv6地址为2003:7856::3/64,默认网关配置为设备 A的ge0口的地址2003:7856::1。

配置Host B的IPv6地址为3003:7856::3/64,默认网关配置为设备 B的ge0口的地址3003:7856::1。

4. 验证配置

在HostB上ping 2003:7856::3 来验证。

hostA# ping6 2003:7856::3

PING 2003:7856::3 (3003:7856::3) 56 data bytes

      seq       ttl     time(ms)

        1       128     1.178

        2       128     1.339

        3       128     1.053

        4       128     1.111

        5       128     1.170

 

--- 2003:7856::3 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms

1.7.3  IPv6静态路由典型配置举例

1. 组网需求

要求各问题重复之间配置IPv6静态路由协议后,可以使所有主机和问题重复之间互通。

2. 组网图

图1-26 静态路由典型组网图

 

3. 配置步骤

(1)     如图1-26所示,给各个设备的相应接口上配置IPv6地址(略)。

(2)     配置IPv6静态路由。

# 在设备 A上配置IPv6缺省路由,如图1-27所示。

图1-27 配置设备 A静态路由

 

 

# 在设备 B上配置静态路由。如图1-28所示。

图1-28 配置设备 B静态路由

 

# 在设备 C上配置静态路由。如图1-29所示。

图1-29 配置设备 C静态路由

 

(3)     配置主机地址和网关。

根据组网图配置好各主机的IPv6地址,并将HostA的缺省网关配置为2002::1,HostB的缺省网关配置为2001::1/64,HostC的缺省网关配置为2003::1。

4. 验证配置

# 在设备 B上执行ping6命令验证。

hostB# ping6 2002::2

PING 2002::2 (2002::2) 56 data bytes

      seq       ttl     time(ms)

        1       128     1.178

        2       128     1.339

        3       128     1.053

        4       128     1.111

        5       128     1.170

 

--- 2002::2 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms

1.7.4  IPv6控制策略典型配置举例

1. 组网需求

内网用户通过设备访问远端服务器,通过IPv6控制策略禁止内网用户访问远端IPv6的HTTP服务器和FTP服务器。

2. 组网图

图1-30 IPv6控制策略组网图

 

3. 配置步骤

(1)     配置IPv6控制策略URL控制策略。

进入上网行为管理>IPV6控制策略页面,新建一条IPV6控制策略,URL过滤策略中新建一条URL控制策略,URL分类选择其它类,处理动作选择拒绝,日志级别配置通知,提交策略。如图1-31图1-32所示。

图1-31 新建IPv6控制策略-新建URL控制策略

 

图1-32 URL控制策略配置完成

 

(2)     配置应用过滤策略。

单击选择“应用过滤”标签页,新建一条应用过滤策略,应用分类选择“文件传输”,如图1-33所示。

 

图1-33 应用过滤策略选择应用

 

处理动作选择“拒绝”,日志级别配置为“通知”,如图1-34所示。

图1-34 IPv6控制策略-新建应用过滤策略

 

 

点击<提交>按钮,提交应用过滤配置,如图1-35所示。

图1-35 应用过滤策略配置完成

 

点击Ipv6策略配置页面的<提交>按钮,完成Ipv6策略配置,如图1-36所示。

图1-36 IPv6控制策略配置完成

 

4. 验证配置

配置完成后,内网用户通过IPv6地址能ping通远端IPv6服务器,访问远端服务器IPv6的HTTP服务和登录FTP服务被拒绝。

 

说明

·     匹配IPv6控制策略用户识别范围配置any或者识别方式配置启发模式。

·     匹配IPv6控制策略命令行上需要启用ipv6 enable功能。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们