• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

04-IPv6控制策略功能典型配置举例

本章节下载 04-IPv6控制策略功能典型配置举例  (729.34 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587529_30005_0.htm

04-IPv6控制策略功能典型配置举例


1  简介

本文档介绍ACG1000设备IPv6控制策略配置举例,IPv6控制策略可以基于用户、源目接口、源目地址、应用、服务、URL、时间等多维度进行控制。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPv6控制策略特性。

3  使用限制

·     ACG1000版本对于纯IPv6环境下加密的应用无法进行解密,所以不能对加密相关应用进行识别及控制。

4  配置举例

4.1  组网需求

图1所示,某部门内网用户使用IPV6网段地址过ACG设备访问公司内部部署的IPV6的HTTP服务器和FTP服务器,先需要对IPV6服务器访问进行限制,工作时间(9:00-18:00)不允许访问FTP服务器和HTTP服务器,只有其它时间访问这两个服务器进行上传下载正常。具体应用需求如下:

·     工作时间不能通过IPV6地址访问这两个服务器。

图1 IPv6控制策略功能配置组网图

 

4.2  配置思路

·     Host主机上配置IPv6地址;

·     ACG设备接口上配置IPv6地址。

·     ACG设备配置IPv6地址对象。

·     ACG设备配置时间对象。

·     ACG设备配置用户识别范围。

·     ACG设备基于IPv6地址对象配置IPv6控制策略。

4.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

4.4  配置注意事项

IPv6控制策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置接口IPv6地址

如图所示,进入“网络配置>接口配置>物理接口”,在ge1和ge4口上配置IPv6地址。

图3 配置接口IPv6地址

 

3. 配置地址对象

图4所示,进入“策略配置>对象管理>地址对象>IPv6地址对象”,点击<新建>,IP地址配置为2001::/64,创建内网IPv6地址对象,点击<提交>。按同样的办法配置服务器网段2005::/64的IPv6地址对象。

图4 配置地址对象

 

图5所示,创建成功的地址对象配置如下:

图5 地址对象配置成功

 

4. 配置时间对象

图6所示,进入“策略配置>对象管理>时间对象>日计划”,配置日计划时间对象,工作时间选择9:00-18:00。

图6 日计划时间对象

 

5. 配置用户识别范围

图7所示,进入“用户管理>认证管理>高级选项>全局配置”,识别范围选择any,识别方式选择强制模式,点击<提交>按钮,用户识别配置完成。

图7 用户识别配置完成

 

6. 配置IPv6控制策略策略

(1)     配置IPv6控制策略匹配条件

图8所示,进入“策略配置>IPv6控制策略”,点击<新建>,“源地址”配置为2001,目的地址配置为2005如图9所示,时间对象选择工作时间如图10所示。

图8 配置IPv6控制策略源地址

 

图9 配置IPv6控制策略目的地址

 

图10 配置IPv6控制策略时间

 

(2)     配置URL过滤策略

图11所示,在IPv6控制策略的“URL过滤”页面,点击“URL控制”<新建>一条URL控制策略,URL分类选择其它,动作选择拒绝,日志级别选择通知级别,点击<提交>。

图11 配置URL控制策略

 

(3)     配置应用过滤策略

图12所示,在IPv6控制策略的“应用过滤”页面,点击<新建>一条应用控制策略,应用分类选择文件传输大类,动作选择拒绝,日志级别选择通知级别,点击<提交>。

图12 配置应用过滤策略

 

图13所示,点击策略最下面的<提交>按钮,IPv6控制策略配置完成。

图13 IPv6控制策略配置完成

 

4.6  验证配置

(1)     如图14所示,测试终端ping服务器的IPv6地址可正常通信。

图14 测试终端ping IPv6服务器地址

 

(2)     如图15所示,工作时间段,测试PC访问IPv6服务器的HTTP服务被拒绝,有相应的阻断提示信息。

图15 访问IPv6服务器的HTTP服务被拒绝

 

(3)     如图16所示,进入“数据中心>日志中心>控制日志>应用控制日志”,有匹配IPv6控制策略中URL控制策略的阻断日志。

图16 URL过滤控制阻断日志

 

(4)     如图17所示,测试终端通过FTP客户端登录IPv6服务器的FTP server,登录失败。

图17 终端登录FTP服务器失败

 

(5)     如图18所示,进入“数据中心>日志中心>控制日志>应用控制日志”,有匹配IPv6控制策略中应用过滤策略的阻断日志。

图18 应用控制阻断日志

 

4.7  配置文件

!

interface ge1

 ip address 10.1.3.1/24

 ipv6 address 2001::1/64

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

!

interface ge4

 traffic-mode extern

 ip address 192.168.2.37/24

 ipv6 address 2005::1/64

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

!

address6 2001

 ipv6 subnet 2001::/64

!

address6 2005

 ipv6 subnet 2005::/64

!

schedule-day 工作时间

 periodic start 09:00 end 18:00

!

policy6 any any 2001 2005 any any any 工作时间 permit 1

  log policy-deny enable

  app-policy control 1 action deny log-level notice 

  app-policy control 1 application File_Transfer

  app-policy control 1 enable

  website-policy 1 other-url deny notice FilterUrl 

   website-policy enable 1

policy6 default-action permit

!

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们