- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-旁路阻断配置指导
本章节下载: 11-旁路阻断配置指导 (170.15 KB)
旁路模式并不替换用户的设备,也不提供任何NAT,DHCP或者DNS服务。它通常放在核心交换机旁边,通过镜像的方式,仅仅提供认证的功能。旁路模式不修改网络结构,不关心网络细节,甚至设备故障下线也不会影响用户上网。
适用一些密度高度集中的场所,如大型展会,大型推销活动,演唱会,火车站或者运动会等。
旁路阻断特征:
l 实施简单,过程不断网。
l 不改变现有网络结构。
l 维护简单,设备故障不断网。
l 旁路阻断默认是关闭状态,需要在部署方式高级配置中开启此功能。
l 阻断策略中的源接口需是接收镜像流量的旁路部署接口或者any,目的接口可配置为任意接口。
l 控制策略中配置行为拒绝时,pc无法正常打开外网页面,无提示;如果是url控制或应用控制中的拒绝会弹出提醒页面。
l 旁路阻断只针对TCP报文生效,对UDP、icmp等报文无法进行阻断。
l 旁路阻断务必保证旁路设备到上网PC可达,否则功能无法使用。
|
操作 |
命令 |
说明 |
|
进入配置视图 |
system-view |
- |
|
开启旁路阻断功能 |
policy listen block enable |
必选 |
|
进入接口视图 |
interface interface |
|
|
开启接口的旁路监听功能 |
deploy-mode listen enable |
必选 |
|
操作 |
命令 |
说明 |
|
进入配置视图 |
system-view |
- |
|
关闭旁路阻断 |
policy listen block disable |
必选 |
在完成上述配置后,在任意视图下执行display命令显示旁路阻断的配置情况。
|
操作 |
命令 |
说明 |
|
display running-config policy |
显示旁路阻断规则 |
设备旁路镜像模式部署,核心交换机的双向流量镜像到设备,针对部分PC配置阻断策略不能正常访问网络。
(1) 按照组网图组网。
(2) 设备配置。
开启旁路阻断功能
H3C # system-view
H3C (config)# policy listen block enable
开启旁路监听功能
H3C # system-view
H3C (config)# interface ge23
H3C (config-ge23)# deploy-mode listen enable
新建test地址对象
H3C # system-view
H3C (config)#address test
H3C (config-address)#ip address 192.168.0.100
开启IPV4策略阻断
H3C (config)# policy any any test any any any any always any deny 1
PC不能正常访问网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
